[LACNIC/Seguridad] Fwd: [seguridad] Alerta de Seguridad ArCERT-2011010300 - WordPress: Inserción de código script o HTML
Carlos Martinez-Cagnazzo
carlosm3011 en gmail.com
Lun Ene 3 22:50:39 BRST 2011
Yo me he preguntado lo mismo. Pero es una practica relativamente común en
ciertos ámbitos.
En particular, algunos deptos de IT corporativos se horrorizan y son
victimas de una especie de reacción alérgica ante la vista de cualquier cosa
que no sea un .doc, con reacciones que bordean lo medieval, "no... si no es
un doc no lo abro/leo/genero"**
s2,
Carlos
2011/1/3 Arturo Servin <aservin en lacnic.net>
>
> Me pregunto porque algunas agencias de seguridad insisten en enviar alertas
> llenas de HTML e imágenes cuando un simple correo en texto bien formateado y
> escrito y con un link a la alerta sería mejor.
>
> Saludos,
> .as
>
> On 3 Jan 2011, at 18:55, Fernando Gont wrote:
>
>
>
> -------- Original Message -------- Subject: [seguridad] Alerta de
> Seguridad ArCERT-2011010300 - WordPress: Inserción de código script o HTML Date:
> Mon, 03 Jan 2011 17:25:21 -0300 From: ArCERT - Alertas
> <alertas en arcert.gob.ar> <alertas en arcert.gob.ar> Organization: ArCERT To:
> Lista de Seguridad <seguridad en arcert.gov.ar> <seguridad en arcert.gov.ar>
>
> <Mail Attachment.jpeg>
> *Alerta ArCERT - 2011010300:*
>
> *WordPress: Inserción de código script o HTML*
> Se ha reportado una vulnerabilidad en WordPress que permitiría la
> inserción de código script o HTML.
>
> *Impacto* El impacto de esta vulnerabilidad se ha clasificado como *
> CRÍTICO*.
>
> *Versiones Afectadas* Se ve afectado por esta vulnerabilidad el
> siguiente producto:
>
> - WordPress, versiones anteriores a 3.0.4
>
> *Detalle* Ciertas entradas que contienen palabras reservadas (Ej.
> el atributo "href" del tag "<a>" de HTML) no son validadas apropiadamente en
> la librería KSES. Esta vulnerabilidad puede ser aprovechada para insertar
> código HTML o código script que podría ejecutarse en la sesión de navegación
> en el contexto de un sitio afectado.
>
> *Recomendaciones* Se recomienda actualizar a:
>
> - WordPress 3.0.4
>
> Adicionalmente, se recomienda realizar un mantenimiento continuo de
> todos los complementos utilizados.
>
> *Referencias* Más información sobre esta Alerta:
>
> WordPress:
> http://wordpress.org/news/2010/12/3-0-4-update/
>
> Secunia:
> http://secunia.com/advisories/42755/
>
> Si Ud. no desea recibir más información de esta lista por favor envíe un
> mensaje a: seguridad-unsubscribe en arcert.gov.ar<seguridad-unsubscribe en arcert.gob.ar>
> <Mail Attachment.jpeg>
> Secretaría de la Gestión Pública - Av. Roque Sáenz Peña 511 (C1035AAA)
> Ciudad Autónoma de Buenos Aires - República Argentina
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
>
--
--
=========================
Carlos M. Martinez-Cagnazzo
http://www.labs.lacnic.net
=========================
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110103/3ef88438/attachment.html>
Más información sobre la lista de distribución Seguridad