<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><br></div><div><span class="Apple-tab-span" style="white-space:pre"> </span>Me pregunto porque algunas agencias de seguridad insisten en enviar alertas llenas de HTML e imágenes cuando un simple correo en texto bien formateado y escrito y con un link a la alerta sería mejor.</div><div><br></div><div>Saludos,</div><div>.as</div><br><div><div>On 3 Jan 2011, at 18:55, Fernando Gont wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">
<div bgcolor="#ffffff" text="#000000">
<br>
<br>
-------- Original Message --------
<table class="moz-email-headers-table" border="0" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<th valign="BASELINE" align="RIGHT" nowrap="nowrap">Subject: </th>
<td>[seguridad] Alerta de Seguridad ArCERT-2011010300 -
WordPress: Inserción de código script o HTML</td>
</tr>
<tr>
<th valign="BASELINE" align="RIGHT" nowrap="nowrap">Date: </th>
<td>Mon, 03 Jan 2011 17:25:21 -0300</td>
</tr>
<tr>
<th valign="BASELINE" align="RIGHT" nowrap="nowrap">From: </th>
<td>ArCERT - Alertas <a class="moz-txt-link-rfc2396E" href="mailto:alertas@arcert.gob.ar"><alertas@arcert.gob.ar></a></td>
</tr>
<tr>
<th valign="BASELINE" align="RIGHT" nowrap="nowrap">Organization:
</th>
<td>ArCERT</td>
</tr>
<tr>
<th valign="BASELINE" align="RIGHT" nowrap="nowrap">To: </th>
<td>Lista de Seguridad <a class="moz-txt-link-rfc2396E" href="mailto:seguridad@arcert.gov.ar"><seguridad@arcert.gov.ar></a></td>
</tr>
</tbody>
</table>
<br>
<br>
<style type="text/css">
<!--
body {
margin-left: 0px;
margin-top: 0px;
margin-right: 0px;
margin-bottom: 0px;
background-color: #00adef;
}
.Texto {
font-size: 12px;
font-family: Arial, Helvetica, sans-serif;
padding: 2px;
text-align: left;
padding-left: 10px;
}
.Datos {
font-size: 10px;
font-family: Arial, Helvetica, sans-serif;
color: #FFFFFF;
text-align: center;
font-weight: bold;
padding: 7px;
}
.Titulo {
font-size: 16px;
font-family: Arial, Helvetica, sans-serif;
color: #000000;
font-weight: bold;
text-align: left;
padding-left: 1px;
padding-top: 20px;
}
.linkunsuscribe {
color: #000000;
font-family: Arial, Helvetica, sans-serif;
font-size: 9px;
font-weight: bold;
text-align: center;
}
.linkunsuscribe a:hover {
color: #000000;
font-family: Arial, Helvetica, sans-serif;
font-size: 9px;
font-weight: bold;
}
.linkunsuscribe a:active {
color: #00adef;
font-family: Arial, Helvetica, sans-serif;
font-size: 9px;
font-weight: bold;
}
.linkunsuscribe a:visited{
color: #00adef;
font-family: Arial, Helvetica, sans-serif;
font-size: 9px;
font-weight: bold;
}
.linkunsuscribe a:link {
color: #00adef;
font-family: Arial, Helvetica, sans-serif;
font-size: 9px;
font-weight: bold;
}
.link {
color: #00adef;
font-family: Arial, Helvetica, sans-serif;
font-size: 12px;
font-weight: bold;
text-decoration: underline;
}
a {
color: #00adef;
text-decoration: underline;
font-family: Arial, Helvetica, sans-serif;
font-size: 12px;
font-weight: bold;
}
a:visited {
text-decoration: underline;
color: #00adef;
font-family: Arial, Helvetica, sans-serif;
font-size: 12px;
font-weight: bold;
}
a:hover {
text-decoration: underline;
color: #000000;
font-family: Arial, Helvetica, sans-serif;
font-size: 12px;
font-weight: bold;
}
a:active {
text-decoration: underline;
color: #00adef;
font-family: Arial, Helvetica, sans-serif;
font-size: 12px;
font-weight: bold;
}
-->
</style><map name="m_onti_top_boletines" id="mapa_top">
<area shape="rect" id="area_ONTI" coords="11,9,213,86" href="http://www.sgp.gov.ar/contenidos/onti/onti.html" target="_blank" alt="Oficina Nacional de Tecnologías de
Información. Alerta de Seguridad - ArCERT" title="Oficina
Nacional de Tecnologías de Información. Alerta de Seguridad -
ArCERT">
<area shape="rect" id="area_ArCERT" coords="443,11,587,79" href="http://www.arcert.gov.ar/" target="_blank" alt="Arcert">
</map>
<map name="MapMapMap" id="MapMapMap">
<area shape="rect" coords="328,10,594,71" href="http://www.jgm.gov.ar/" target="_blank" alt="Jefatura de
Gabinete de Ministros. Presidencia de la Nación">
<area shape="rect" coords="17,8,245,73" href="http://www.sgp.gov.ar/" target="_blank" alt="Secretaría de
la Gestión Pública. Subsecretaría de Tecnologías de Gestión">
</map>
<table width="600" align="center" border="0" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td width="600" height="67"><span><Mail Attachment.jpeg></span><br>
</td>
</tr>
<tr>
<td>
<table width="100%" border="0" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td valign="top" bgcolor="#d9f0f8">
<table width="100%" border="0" cellpadding="10" cellspacing="0">
<tbody>
<tr>
<td><b><span class="Titulo">Alerta ArCERT -
2011010300:</span></b><br>
<br>
<table class="Texto" width="98%" border="0" cellpadding="0">
<tbody>
<tr>
<td><b>WordPress: Inserción de código
script o
HTML</b><br>
</td>
</tr>
<tr>
<td>Se ha reportado una vulnerabilidad
en
WordPress que permitiría la
inserción de código script o HTML.<br>
</td>
</tr>
<tr>
<td><br>
</td>
</tr>
<tr>
<td><b>Impacto</b></td>
</tr>
<tr>
<td>El impacto de esta vulnerabilidad
se
ha clasificado como <b>CRÍTICO</b>.
<br>
</td>
</tr>
<tr>
<td><br>
</td>
</tr>
<tr>
<td><b>Versiones Afectadas</b></td>
</tr>
<tr>
<td> Se ve afectado por esta
vulnerabilidad el
siguiente producto:<br>
<ul>
<li> WordPress, versiones
anteriores a 3.0.4 </li>
</ul>
</td>
</tr>
<tr>
<td><b>Detalle</b></td>
</tr>
<tr>
<td> Ciertas entradas que contienen
palabras
reservadas (Ej. el atributo "href"
del tag "<a>" de HTML) no son
validadas apropiadamente en la
librería KSES. Esta vulnerabilidad
puede
ser aprovechada para insertar código
HTML o código script que podría
ejecutarse en la sesión de
navegación en el contexto de un
sitio
afectado.<br>
</td>
</tr>
<tr>
<td valign="top"><br>
</td>
</tr>
<tr>
<td><b>Recomendaciones</b></td>
</tr>
<tr>
<td>Se recomienda actualizar a:<br>
<ul>
<li>WordPress 3.0.4</li>
</ul>
Adicionalmente, se recomienda
realizar un mantenimiento continuo
de
todos los complementos utilizados.<br>
</td>
</tr>
<tr>
<td valign="top"><br>
</td>
</tr>
<tr>
<td valign="top"><b>Referencias</b></td>
</tr>
<tr>
<td valign="top"> Más información
sobre esta
Alerta:<br>
<br>
WordPress:<br>
<a moz-do-not-send="true" href="http://wordpress.org/news/2010/12/3-0-4-update/">http://wordpress.org/news/2010/12/3-0-4-update/</a><br>
<br>
Secunia:<br>
<a moz-do-not-send="true" href="http://secunia.com/advisories/42755/">http://secunia.com/advisories/42755/</a><br>
<br>
</td>
</tr>
</tbody>
</table>
<span class="linkunsuscribe">Si Ud. no desea
recibir
más información de esta lista por favor
envíe un mensaje a: <a moz-do-not-send="true" href="mailto:seguridad-unsubscribe@arcert.gob.ar" class="linkunsuscribe">seguridad-unsubscribe@arcert.gov.ar</a></span>
<br>
</td>
</tr>
</tbody>
</table>
</td>
</tr>
</tbody>
</table>
</td>
</tr>
<tr>
<td>
<table width="100%" border="0" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td><span><Mail Attachment.jpeg></span><br>
</td>
</tr>
</tbody>
</table>
</td>
</tr>
<tr>
<td class="Datos">Secretaría de la Gestión Pública - Av. Roque
Sáenz Peña 511 (C1035AAA)<br>
Ciudad Autónoma de Buenos Aires - República Argentina</td>
</tr>
</tbody>
</table>
</div>
_______________________________________________<br>Seguridad mailing list<br><a href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/seguridad">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br></blockquote></div><br></body></html>