[LACNIC/Seguridad] Fwd: [seguridad] Alerta de Seguridad ArCERT-2011010300 - WordPress: Inserción de código script o HTML

Arturo Servin aservin en lacnic.net
Lun Ene 3 20:06:40 BRST 2011 

	Me pregunto porque algunas agencias de seguridad insisten en enviar alertas llenas de HTML e imágenes cuando un simple correo en texto bien formateado y escrito y con un link a la alerta sería mejor.

Saludos,
.as

On 3 Jan 2011, at 18:55, Fernando Gont wrote:

> 
> 
> -------- Original Message --------
> Subject:	[seguridad] Alerta de Seguridad ArCERT-2011010300 - WordPress: Inserción de código script o HTML
> Date:	Mon, 03 Jan 2011 17:25:21 -0300
> From:	ArCERT - Alertas <alertas en arcert.gob.ar>
> Organization:	ArCERT
> To:	Lista de Seguridad <seguridad en arcert.gov.ar>
> 
> <Mail Attachment.jpeg>
> Alerta ArCERT - 2011010300:
> 
> WordPress: Inserción de código script o HTML
> Se ha reportado una vulnerabilidad en WordPress que permitiría la inserción de código script o HTML.
> 
> Impacto
> El impacto de esta vulnerabilidad se ha clasificado como CRÍTICO. 
> 
> Versiones Afectadas
> Se ve afectado por esta vulnerabilidad el siguiente producto:
> WordPress, versiones anteriores a 3.0.4
> Detalle
> Ciertas entradas que contienen palabras reservadas (Ej. el atributo "href" del tag "<a>" de HTML) no son validadas apropiadamente en la librería KSES. Esta vulnerabilidad puede ser aprovechada para insertar código HTML o código script que podría ejecutarse en la sesión de navegación en el contexto de un sitio afectado.
> 
> Recomendaciones
> Se recomienda actualizar a:
> WordPress 3.0.4
> Adicionalmente, se recomienda realizar un mantenimiento continuo de todos los complementos utilizados.
> 
> Referencias
> Más información sobre esta Alerta:
> 
> WordPress:
> http://wordpress.org/news/2010/12/3-0-4-update/
> 
> Secunia:
> http://secunia.com/advisories/42755/
> 
> Si Ud. no desea recibir más información de esta lista por favor envíe un mensaje a: seguridad-unsubscribe en arcert.gov.ar 
> <Mail Attachment.jpeg>
> Secretaría de la Gestión Pública - Av. Roque Sáenz Peña 511 (C1035AAA)
> Ciudad Autónoma de Buenos Aires - República Argentina _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110103/75269019/attachment.html>

Más información sobre la lista de distribución Seguridad