Exploit en WordPress permite añadir enlaces al blogroll

Autor: Armonth | El jueves 18 de octubre del 2007 @ 03:11.

Parece ser que un par de usuarios han reportado un fallo que está siendo utilizado para llenar de SPAM la lista de enlaces (blogroll) de sus blogs con WordPress 2.3 y anteriores.

El fallo (ticket 4627) no tengo claro cómo pero parece ser que se intenta acceder y al no tener permisos se rechaza (con wp_nonce) pero con una redirección 302 + nonce el "bot" consigue finalmente añadir el enlace...

De todas formas el fallo "no es grave" pero puede ser muy jugoso para los spammers y perjudicar la reputación de los sitios (junto a su posicionamiento).

Ya hay un changeset para WordPress 2.3 que modifica el fichero wp-admin/link.php para corregir el problema y del cual podéis bajar directamente el fichero link.php.

Mire usted por donde, alguna ventaja tenía no usar blogrolls.

Comentarios