17 mayo 2012

Hace unas semanas se anunciaba la versión 3.3.2 de Wordpress, que incluía entre otras cosas, 6 correcciones de seguridad, referentes a varias vulnerabilidades remotas encontradas, y de varios tipos. Ayer en el twitter de Daboblog nos recomendaba parchear nuestros blogs a su última versión debido a estas vulnerabilidades:



Tres de ellas (CVE-2012-2399CVE-2012-2400CVE-2012-2401) fueron detectadas en librerías externas que utiliza Wordpress para subir ficheros en la sección de Multimedia, mediante Plupload, SWFUpload (librería anterior) y SWFObject (esta última se encuentra incluída dentro de muchos themes, y se utiliza para incrustar contenido Flash).

Para estas tres vulnerabilidades, podemos obtener detalles más técnicos referentes a ellas, simplemente revisando los diff de archivos entre ramas de versiones:


Como ejemplo, en el caso de la librería SWFObject (utilizada no sólo en Wordpress), el fallo radica en que no se codificaba previamente el valor de MMredirectURLO.location, variable Flash utilizada en su instanciación. En la actualización del fichero Javascript, se realiza una codificación de la URL mediante la función encodeURI:


De las otras 3 vulnerabilidades (CVE-2012-2402CVE-2012-2403 y CVE-2012-2404) se dispone de más información, tratándose de Cross-Site Scriptings y una evasión limitada de restricciones.


  • CVE-2012-2402 - Se actualiza el fichero plugins.php, habiéndose descubierto la posibilidad de desactivar plugins por parte de usuarios administradores, para toda una red creada de blogs bajo una misma instalación, aun teniendo dicha restricción activada. Esta vulnerabilidad se ha categorizado como baja. A continuación podremos ver los cambios realizados, referentes a una comprobación utilizada para verificar que no se desactivaban plugins que ya estaban desactivados:

  • CVE-2012-2403 - Se actualiza el fichero wp-includes/formatting.php, cuya función vulnerable era aquella que intentaba habilitar enlaces clicables (make_clickable) dentro de atributos, permitiendo la realización de ataques Cross-Site Scripting. Dicha función se ha re-escrito completamente:



  • CVE-2012-2404 - Se actualiza el fichero wp-comments-post.php, que incluía una redirección a una variable $location de forma insegura, mediante una función propia de wordpress wp_redirect(). Como actualización, se sustituye el uso de dicha función por otra, llamada wp_safe_redirect(), que incluye comprobaciones y realiza la redirección local de forma más segura.


Si bien no se trata de vulnerabilidades muy críticas, debido a su posible explotación remota se recomienda actualizar Wordpress a su versión 3.3.2 ya disponible.

2 comments :

Dabo dijo...

Hola, muchas gracias José A. por la mención ;) Es un buen análisis de los bugs, lo cierto es que aún sigo viendo muchos blogs (y no precisamente con poco tráfico, no hay más que ir a la típica lista de ranking de blogs y dar un vistazo por ej a los readme.html) con versiones obsoletas sensibles a estas y otras vulnerabilidades, por lo que como bien dices, es más que aconsejable su actualización frente a posibles "sustos".

Un saludo

1Gb de Informacion dijo...

Es increible que siempre es