[LACNIC/Seguridad] Fwd: [seguridad] Alerta de Seguridad ArCERT-2011010300 - WordPress: Inserción de código script o HTML
Fernando Gont
fernando en gont.com.ar
Lun Ene 3 18:55:27 BRST 2011
-------- Original Message --------
Subject: [seguridad] Alerta de Seguridad ArCERT-2011010300 - WordPress:
Inserción de código script o HTML
Date: Mon, 03 Jan 2011 17:25:21 -0300
From: ArCERT - Alertas <alertas en arcert.gob.ar>
Organization: ArCERT
To: Lista de Seguridad <seguridad en arcert.gov.ar>
Oficina Nacional de Tecnologías de Información Alerta de Seguridad - ArCERT
*Alerta ArCERT - 2011010300:*
*WordPress: Inserción de código script o HTML*
Se ha reportado una vulnerabilidad en WordPress que permitiría la
inserción de código script o HTML.
*Impacto*
El impacto de esta vulnerabilidad se ha clasificado como *CRÍTICO*.
*Versiones Afectadas*
Se ve afectado por esta vulnerabilidad el siguiente producto:
* WordPress, versiones anteriores a 3.0.4
*Detalle*
Ciertas entradas que contienen palabras reservadas (Ej. el atributo
"href" del tag "<a>" de HTML) no son validadas apropiadamente en la
librería KSES. Esta vulnerabilidad puede ser aprovechada para insertar
código HTML o código script que podría ejecutarse en la sesión de
navegación en el contexto de un sitio afectado.
*Recomendaciones*
Se recomienda actualizar a:
* WordPress 3.0.4
Adicionalmente, se recomienda realizar un mantenimiento continuo de
todos los complementos utilizados.
*Referencias*
Más información sobre esta Alerta:
WordPress:
http://wordpress.org/news/2010/12/3-0-4-update/
Secunia:
http://secunia.com/advisories/42755/
Si Ud. no desea recibir más información de esta lista por favor envíe un
mensaje a: seguridad-unsubscribe en arcert.gov.ar
<mailto:seguridad-unsubscribe en arcert.gob.ar>
Secretaría de la Gestión Pública. Jefatura de Gabinete de Ministros
Secretaría de la Gestión Pública - Av. Roque Sáenz Peña 511 (C1035AAA)
Ciudad Autónoma de Buenos Aires - República Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110103/c75fad50/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: no disponible
Type: image/jpeg
Size: 22653 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110103/c75fad50/attachment.jpe>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: no disponible
Type: image/jpeg
Size: 17493 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110103/c75fad50/attachment-0001.jpe>
Más información sobre la lista de distribución Seguridad