[LACNIC/Seguridad] Fwd: [seguridad] Alerta de Seguridad ArCERT-2011010300 - WordPress: Inserción de código script o HTML

Fernando Gont fernando en gont.com.ar
Lun Ene 3 18:55:27 BRST 2011 


-------- Original Message --------
Subject: 	[seguridad] Alerta de Seguridad ArCERT-2011010300 - WordPress:
Inserción de código script o HTML
Date: 	Mon, 03 Jan 2011 17:25:21 -0300
From: 	ArCERT - Alertas <alertas en arcert.gob.ar>
Organization: 	ArCERT
To: 	Lista de Seguridad <seguridad en arcert.gov.ar>



Oficina Nacional de Tecnologías de Información Alerta de Seguridad - ArCERT
*Alerta ArCERT - 2011010300:*

*WordPress: Inserción de código script o HTML*
Se ha reportado una vulnerabilidad en WordPress que permitiría la
inserción de código script o HTML.

*Impacto*
El impacto de esta vulnerabilidad se ha clasificado como *CRÍTICO*.

*Versiones Afectadas*
Se ve afectado por esta vulnerabilidad el siguiente producto:

    * WordPress, versiones anteriores a 3.0.4

*Detalle*
Ciertas entradas que contienen palabras reservadas (Ej. el atributo
"href" del tag "<a>" de HTML) no son validadas apropiadamente en la
librería KSES. Esta vulnerabilidad puede ser aprovechada para insertar
código HTML o código script que podría ejecutarse en la sesión de
navegación en el contexto de un sitio afectado.

*Recomendaciones*
Se recomienda actualizar a:

    * WordPress 3.0.4

Adicionalmente, se recomienda realizar un mantenimiento continuo de
todos los complementos utilizados.

*Referencias*
Más información sobre esta Alerta:

WordPress:
http://wordpress.org/news/2010/12/3-0-4-update/

Secunia:
http://secunia.com/advisories/42755/

Si Ud. no desea recibir más información de esta lista por favor envíe un
mensaje a: seguridad-unsubscribe en arcert.gov.ar
<mailto:seguridad-unsubscribe en arcert.gob.ar>

Secretaría de la Gestión Pública. Jefatura de Gabinete de Ministros

Secretaría de la Gestión Pública - Av. Roque Sáenz Peña 511 (C1035AAA)
Ciudad Autónoma de Buenos Aires - República Argentina

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110103/c75fad50/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: no disponible
Type: image/jpeg
Size: 22653 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110103/c75fad50/attachment.jpe>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: no disponible
Type: image/jpeg
Size: 17493 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110103/c75fad50/attachment-0001.jpe>

Más información sobre la lista de distribución Seguridad