WordPress ya es uno de los CMS más utilizados para gestionar blogs, esto trae consigo el que muchos Crackers aprovechen al máximo cuando se descubre una vulnerabilidad grave para este sistema. Recientemente se ha descubierto una grave vulnerabilidad que afecta a la rama 2.0 y 2.1 de WordPress, esta vulnerabilidad permite que mediante inyección SQL se obtengan los hashes de los usuarios del blog y posteriormente obtener la contraseña.
Como medida temporal, en SigT publican el editar el fichero pluggable-functions.php (en la rama 2.0) o pluggable.php (en la rama 2.1) que se encuentra en el directorio «wp-includes», y agregar después de la línea que corresponde a (121) «return $userdata» lo siguiente:
if ( $userdata )
return $userdata;
$user_login = $wpdb->escape($user_login);
Desde openSecurity recomendamos altamente actualizar a la versión 2.2 de WordPress. Esta vulnerabilidad es bastante grave y fácil de explotar.
Descarga | WordPress 2.2
