<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body bgcolor="#ffffff" text="#000000">
<br>
<br>
-------- Original Message --------
<table class="moz-email-headers-table" border="0" cellpadding="0"
cellspacing="0">
<tbody>
<tr>
<th valign="BASELINE" align="RIGHT" nowrap="nowrap">Subject: </th>
<td>[seguridad] Alerta de Seguridad ArCERT-2011010300 -
WordPress: Inserción de código script o HTML</td>
</tr>
<tr>
<th valign="BASELINE" align="RIGHT" nowrap="nowrap">Date: </th>
<td>Mon, 03 Jan 2011 17:25:21 -0300</td>
</tr>
<tr>
<th valign="BASELINE" align="RIGHT" nowrap="nowrap">From: </th>
<td>ArCERT - Alertas <a class="moz-txt-link-rfc2396E" href="mailto:alertas@arcert.gob.ar"><alertas@arcert.gob.ar></a></td>
</tr>
<tr>
<th valign="BASELINE" align="RIGHT" nowrap="nowrap">Organization:
</th>
<td>ArCERT</td>
</tr>
<tr>
<th valign="BASELINE" align="RIGHT" nowrap="nowrap">To: </th>
<td>Lista de Seguridad <a class="moz-txt-link-rfc2396E" href="mailto:seguridad@arcert.gov.ar"><seguridad@arcert.gov.ar></a></td>
</tr>
</tbody>
</table>
<br>
<br>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<title>Oficina Nacional de Tecnologías de Información. Alerta de
seguridad - ArCERT</title>
<style type="text/css">
<!--
body {
margin-left: 0px;
margin-top: 0px;
margin-right: 0px;
margin-bottom: 0px;
background-color: #00adef;
}
.Texto {
font-size: 12px;
font-family: Arial, Helvetica, sans-serif;
padding: 2px;
text-align: left;
padding-left: 10px;
}
.Datos {
font-size: 10px;
font-family: Arial, Helvetica, sans-serif;
color: #FFFFFF;
text-align: center;
font-weight: bold;
padding: 7px;
}
.Titulo {
font-size: 16px;
font-family: Arial, Helvetica, sans-serif;
color: #000000;
font-weight: bold;
text-align: left;
padding-left: 1px;
padding-top: 20px;
}
.linkunsuscribe {
color: #000000;
font-family: Arial, Helvetica, sans-serif;
font-size: 9px;
font-weight: bold;
text-align: center;
}
.linkunsuscribe a:hover {
color: #000000;
font-family: Arial, Helvetica, sans-serif;
font-size: 9px;
font-weight: bold;
}
.linkunsuscribe a:active {
color: #00adef;
font-family: Arial, Helvetica, sans-serif;
font-size: 9px;
font-weight: bold;
}
.linkunsuscribe a:visited{
color: #00adef;
font-family: Arial, Helvetica, sans-serif;
font-size: 9px;
font-weight: bold;
}
.linkunsuscribe a:link {
color: #00adef;
font-family: Arial, Helvetica, sans-serif;
font-size: 9px;
font-weight: bold;
}
.link {
color: #00adef;
font-family: Arial, Helvetica, sans-serif;
font-size: 12px;
font-weight: bold;
text-decoration: underline;
}
a {
color: #00adef;
text-decoration: underline;
font-family: Arial, Helvetica, sans-serif;
font-size: 12px;
font-weight: bold;
}
a:visited {
text-decoration: underline;
color: #00adef;
font-family: Arial, Helvetica, sans-serif;
font-size: 12px;
font-weight: bold;
}
a:hover {
text-decoration: underline;
color: #000000;
font-family: Arial, Helvetica, sans-serif;
font-size: 12px;
font-weight: bold;
}
a:active {
text-decoration: underline;
color: #00adef;
font-family: Arial, Helvetica, sans-serif;
font-size: 12px;
font-weight: bold;
}
-->
</style><map name="m_onti_top_boletines" id="mapa_top">
<area shape="rect" id="area_ONTI" coords="11,9,213,86"
href="http://www.sgp.gov.ar/contenidos/onti/onti.html"
target="_blank" alt="Oficina Nacional de Tecnologías de
Información. Alerta de Seguridad - ArCERT" title="Oficina
Nacional de Tecnologías de Información. Alerta de Seguridad -
ArCERT">
<area shape="rect" id="area_ArCERT" coords="443,11,587,79"
href="http://www.arcert.gov.ar" target="_blank" alt="Arcert">
</map>
<map name="MapMapMap" id="MapMapMap">
<area shape="rect" coords="328,10,594,71"
href="http://www.jgm.gov.ar" target="_blank" alt="Jefatura de
Gabinete de Ministros. Presidencia de la Nación">
<area shape="rect" coords="17,8,245,73"
href="http://www.sgp.gov.ar" target="_blank" alt="Secretaría de
la Gestión Pública. Subsecretaría de Tecnologías de Gestión">
</map>
<table width="600" align="center" border="0" cellpadding="0"
cellspacing="0">
<tbody>
<tr>
<td width="600" height="67"><img alt="Oficina Nacional de
Tecnologías de Información Alerta de Seguridad - ArCERT"
src="cid:part1.08000100.00020804@gont.com.ar" width="600"
height="97"><br>
</td>
</tr>
<tr>
<td>
<table width="100%" border="0" cellpadding="0"
cellspacing="0">
<tbody>
<tr>
<td valign="top" bgcolor="#d9f0f8">
<table width="100%" border="0" cellpadding="10"
cellspacing="0">
<tbody>
<tr>
<td><b><span class="Titulo">Alerta ArCERT -
2011010300:</span></b><br>
<br>
<table class="Texto" width="98%" border="0"
cellpadding="0">
<tbody>
<tr>
<td><b>WordPress: Inserción de código
script o
HTML</b><br>
</td>
</tr>
<tr>
<td>Se ha reportado una vulnerabilidad
en
WordPress que permitiría la
inserción de código script o HTML.<br>
</td>
</tr>
<tr>
<td><br>
</td>
</tr>
<tr>
<td><b>Impacto</b></td>
</tr>
<tr>
<td>El impacto de esta vulnerabilidad
se
ha clasificado como <b>CRÍTICO</b>.
<br>
</td>
</tr>
<tr>
<td><br>
</td>
</tr>
<tr>
<td><b>Versiones Afectadas</b></td>
</tr>
<tr>
<td> Se ve afectado por esta
vulnerabilidad el
siguiente producto:<br>
<ul>
<li> WordPress, versiones
anteriores a 3.0.4 </li>
</ul>
</td>
</tr>
<tr>
<td><b>Detalle</b></td>
</tr>
<tr>
<td> Ciertas entradas que contienen
palabras
reservadas (Ej. el atributo "href"
del tag "<a>" de HTML) no son
validadas apropiadamente en la
librería KSES. Esta vulnerabilidad
puede
ser aprovechada para insertar código
HTML o código script que podría
ejecutarse en la sesión de
navegación en el contexto de un
sitio
afectado.<br>
</td>
</tr>
<tr>
<td valign="top"><br>
</td>
</tr>
<tr>
<td><b>Recomendaciones</b></td>
</tr>
<tr>
<td>Se recomienda actualizar a:<br>
<ul>
<li>WordPress 3.0.4</li>
</ul>
Adicionalmente, se recomienda
realizar un mantenimiento continuo
de
todos los complementos utilizados.<br>
</td>
</tr>
<tr>
<td valign="top"><br>
</td>
</tr>
<tr>
<td valign="top"><b>Referencias</b></td>
</tr>
<tr>
<td valign="top"> Más información
sobre esta
Alerta:<br>
<br>
WordPress:<br>
<a moz-do-not-send="true"
href="http://wordpress.org/news/2010/12/3-0-4-update/">http://wordpress.org/news/2010/12/3-0-4-update/</a><br>
<br>
Secunia:<br>
<a moz-do-not-send="true"
href="http://secunia.com/advisories/42755/">http://secunia.com/advisories/42755/</a><br>
<br>
</td>
</tr>
</tbody>
</table>
<span class="linkunsuscribe">Si Ud. no desea
recibir
más información de esta lista por favor
envíe un mensaje a: <a
moz-do-not-send="true"
href="mailto:seguridad-unsubscribe@arcert.gob.ar"
class="linkunsuscribe">seguridad-unsubscribe@arcert.gov.ar</a></span>
<br>
</td>
</tr>
</tbody>
</table>
</td>
</tr>
</tbody>
</table>
</td>
</tr>
<tr>
<td>
<table width="100%" border="0" cellpadding="0"
cellspacing="0">
<tbody>
<tr>
<td><img alt="Secretaría de la Gestión Pública.
Jefatura de Gabinete de Ministros"
src="cid:part2.05070405.05020205@gont.com.ar"
width="600" height="82"><br>
</td>
</tr>
</tbody>
</table>
</td>
</tr>
<tr>
<td class="Datos">Secretaría de la Gestión Pública - Av. Roque
Sáenz Peña 511 (C1035AAA)<br>
Ciudad Autónoma de Buenos Aires - República Argentina</td>
</tr>
</tbody>
</table>
</body>
</html>