subscripción
Buayacorp
Problemas de seguridad con Wordpress 2.x y el plugin pagebar
Marzo 31st, 2007 - [Enlace local]
Debido a unos cambios hechos en la función get_pagenum_link de las ramas 2.0 y 2.1 de Wordpress, varios blogs que usan el plugin pagebar son vulnerables a XSS.
Si alguno de ustedes usa el mencionado plugin y se muestra algún mensaje con la siguientes direcciones URL, entonces necesitan modificar ciertas cosas:
code:
http://tublog.com/index.php?"><script>alert(/XSS/)</script><&paged=2 http://tublog.com/index.php/"><script>alert(/XSS/)</script><&paged=2
Para corregir el problema descrito en el plugin pagebar, tienen que escapar el valor devuelto por get_pagenum_link con las funciones attribute_escape o clean_url. Por si alguien desea, puede bajar la versión modificada o aplicar el parche que corrige estos problemas.