[LACNIC/Seguridad] Fwd: [seguridad] Alerta de Seguridad ArCERT-2011010300 - WordPress: Inserción de código script o HTML
Fernando Gont
fernando en gont.com.ar
Lun Ene 3 20:13:33 BRST 2011
Hola, Arturo,
Coincido.
FWIW, reenvie el alerta en HTML ya que si lo reenviaba en text/plain
quedaba horrible.
Saludos,
Fernando
On 03/01/2011 07:06 p.m., Arturo Servin wrote:
>
> Me pregunto porque algunas agencias de seguridad insisten en enviar
> alertas llenas de HTML e imágenes cuando un simple correo en texto bien
> formateado y escrito y con un link a la alerta sería mejor.
>
> Saludos,
> .as
>
> On 3 Jan 2011, at 18:55, Fernando Gont wrote:
>
>>
>>
>> -------- Original Message --------
>> Subject: [seguridad] Alerta de Seguridad ArCERT-2011010300 -
>> WordPress: Inserción de código script o HTML
>> Date: Mon, 03 Jan 2011 17:25:21 -0300
>> From: ArCERT - Alertas <alertas en arcert.gob.ar>
>> Organization: ArCERT
>> To: Lista de Seguridad <seguridad en arcert.gov.ar>
>>
>>
>>
>> <Mail Attachment.jpeg>
>> *Alerta ArCERT - 2011010300:*
>>
>> *WordPress: Inserción de código script o HTML*
>> Se ha reportado una vulnerabilidad en WordPress que permitiría la
>> inserción de código script o HTML.
>>
>> *Impacto*
>> El impacto de esta vulnerabilidad se ha clasificado como *CRÍTICO*.
>>
>> *Versiones Afectadas*
>> Se ve afectado por esta vulnerabilidad el siguiente producto:
>>
>> * WordPress, versiones anteriores a 3.0.4
>>
>> *Detalle*
>> Ciertas entradas que contienen palabras reservadas (Ej. el atributo
>> "href" del tag "<a>" de HTML) no son validadas apropiadamente en la
>> librería KSES. Esta vulnerabilidad puede ser aprovechada para insertar
>> código HTML o código script que podría ejecutarse en la sesión de
>> navegación en el contexto de un sitio afectado.
>>
>> *Recomendaciones*
>> Se recomienda actualizar a:
>>
>> * WordPress 3.0.4
>>
>> Adicionalmente, se recomienda realizar un mantenimiento continuo de
>> todos los complementos utilizados.
>>
>> *Referencias*
>> Más información sobre esta Alerta:
>>
>> WordPress:
>> http://wordpress.org/news/2010/12/3-0-4-update/
>>
>> Secunia:
>> http://secunia.com/advisories/42755/
>>
>> Si Ud. no desea recibir más información de esta lista por favor envíe
>> un mensaje a: seguridad-unsubscribe en arcert.gov.ar
>> <mailto:seguridad-unsubscribe en arcert.gob.ar>
>>
>> <Mail Attachment.jpeg>
>>
>> Secretaría de la Gestión Pública - Av. Roque Sáenz Peña 511 (C1035AAA)
>> Ciudad Autónoma de Buenos Aires - República Argentina
>>
>> _______________________________________________
>> Seguridad mailing list
>> Seguridad en lacnic.net <mailto:Seguridad en lacnic.net>
>> https://mail.lacnic.net/mailman/listinfo/seguridad
>
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
Más información sobre la lista de distribución Seguridad