Nuovo aggiornamento di sicurezza per WordPress 2.3.x: se non volete scaricare il pacchetto completo, aggiornate quantomeno il file xmlrpc.php. La versione in uso in WordPress 2.3.2 permette a un utente registrato, attraverso una richiesta appositamente formata, di modificare i post scritti da qualsiasi altro utente del blog. Nella versione 2.3.3 vengono corretti anche altri piccoli problemi, ad esempio l’uso di GetText su sistemi a 64bit.
Qui potete trovare il diff tra la versione 2.3.2 e la versione 2.3.3 e il pacchetto con i soli file modificati: da utilizzare SOLO in presenza della versione 2.3.2, è possibile scaricarlo anche utilizzando il link Zip Archive sul fondo della pagina di Trac.
Attenzione anche al plugin WP-Forum: in questo caso il bug, confermato nella versione 1.7.4, è ben più grave in quanto consente, attraverso un attacco di tipo SQL-Injection, di recuperare il contenuto del database di WordPress (e-mail, hash delle password, ecc. ecc.). In attesa di una soluzione, si consiglia di disattivare il plugin WP-Forum.
Via | WordPress Italy
