Curiosity is insubordination in its purest form. -Vladimir Nabokov

lunes, 21 de enero de 2008

vulnerabilidad Data Disclosure en Wordpress

En todas las versiones de Wordpress hasta la fecha he descubierto que existe un fallo de diseño que permite a los usuarios registrados ver las IPs y los mails (estos ultimos si han sido introducidos) de todos los usuarios que hayan hecho algun comentario.

Basta con logearse e ir a la opcion Comentarios o a la opcion Administrar y ahi pinchar en cualquier numero de los comentarios para ver estos datos sensibles.

Googleando descubri un plugin hecho por Kaf Oseo, pero solo solucionaba el problema si entrabamos por la opcion de comentarios. Por la opcion administracion seguia sin resolver el problema. Ademas lo hacia reduciendo la funcionalidad del blog en wordpress, pues lo hacia a costa de reducir los privilegios de los usuarios de Autor a Colaborador.

Podeis bajar la solucion de AQUI

He dejado mensaje en los foros oficiales de Wordpress

Related Posts by Categories



2 comentarios :

Anónimo dijo...

Can't get this to download. It just keeps returning the same page over and over, nothing ends up on my harddrive. Please help! I need this plugin!! Looks GREAT!

vlan7 dijo...

I've checked the link a few seconds ago and the link is OK. I've been able to download the ZIP file. Simply go to the link and select Download on the page that appears to you.

Best regards,