Vulnerabilidad crítica en WordPress

http://www.opensecurity.es/wp-content/uploads/2009/07/wpdsh.png

Según se ha dado a conocer en Desvaríos Informáticos, todas las versiones de WordPress tienen una vulnerabilidad crítica de denegación de servicio, la cual permitiría a cualquier usuario malintenciondo dejar abajo el servidor en donde se hospeda un blog en sólo unos minutos y tras algunas cuantas peticiones.

Aunque el fallo ya ha sido reportado a WordPress, por el momento no existe una actualización que lo solucione, y según lo que comenta José Carlos Norte en su blog, tal parece que los desarrolladores no tienen ninguna prisa por corregirla, así que una actualización por parte de WordPress podría tardar bastante tiempo.

Por ahora hay una solución temporal, y consiste en hacer lo siguiente:


En el archivo wp-trackback.php de la instalación de WordPress buscar la línea:

$charset = $_POST[‘charset’];

Esa línea hay que reemplazarla por esta otra:

$charset = str_replace(”,”,”»,$_POST[‘charset’]);
if(is_array($charset)) { exit; }

Al parecer, con este cambio se soluciona la vulnerabilidad, así que mientras no se publique una actualización es muy recomendable aplicar esta modificación.