It should work... » fallo de seguridad http://vierito.es/wordpress Cuando cualquier trasto es útil Sat, 09 Jul 2011 02:34:26 +0000 en hourly 1 Va de pre-fetching, WordPress y links malintencionados http://vierito.es/wordpress/2009/08/13/va-de-pre-fetching-wordpress-y-links-malintencionados/ http://vierito.es/wordpress/2009/08/13/va-de-pre-fetching-wordpress-y-links-malintencionados/#comments Thu, 13 Aug 2009 01:02:48 +0000 vierito5 http://vierito.es/wordpress/?p=620 Como más de uno sabrá ya, ha salido a la luz una vulnerabilidad en WordPress 2.8.3 mediante la cual se puede resetear el password de administrador con un link malicioso (maliiiiiiiiiigno) como el siguiente:

http://DOMAIN_NAME.TLD/wordpress/wp-login.php?action=rp&key=o7naCKN3OoeU2KJMMsag

Hasta aquí normal, de vez en cuando salen vulnerabilidades, además cuando recibes un correo (por ejemplo) con el link maloso te das cuenta de que hay gato encerrado.. pero ¿puede haber otros factores? Uhm, sí. ¿Qué tal los acortadores de direcciones? No se vería en principio a donde vas.

bug-feature

Por otro lado, hace un par de días actualicé Firefox a la versión 3.5.2 y esta mañana me he dado cuenta de que tiene activado un pre-fetch de links para navegar de un modo más rápido, es decir, precarga la primera búsqueda de google, precarga el siguiente post del blog que estás leyendo, etc. ¿Precarga un link malicioso que has recibido intentando explotar el bug anterior?

No me parece nada segura este tipo de navegación acelerada así que para desactivar esta opción se puede entrar en el about:config y desactivarla:

network.prefetch-next = false

Y ahora el mundo es un poquito mejor (de hecho ya han ido llegando correos maliciosos por algún sitio intentando explotarlo).

Sobre WordPress, ó se actualiza a la versión 2.8.4 ó se cambia a mano el código vulnerable.


Fuente original en http://vierito.es/wordpress

Similar Posts:

]]> http://vierito.es/wordpress/2009/08/13/va-de-pre-fetching-wordpress-y-links-malintencionados/feed/ 12