Se
ha publicado una vulnerabilidad que afecta a WordPress
y que podría permitir que un atacante remoto llevara a cabo una denegación de servicio.
WordPress es un sistema de gestión de contenidos (CMS) de código
libre muy utilizado para crear blogs y páginas web que se actualizan con frecuencia.
Actualmente se encuentra en la versión 3.3.1.
El usuario MustLive ha encontrado
una vulnerabilidad de abuso de funcionalidad
(AoF) en WordPress. Es abuso de funcionalidad es una técnica de ataque en el
que se utilizan las propias funcionalidades de un sitio para atacarlo. Un
atacante remoto podría causar una denegación
de servicio mediante un ataque de este tipo.
La vulnerabilidad se encuentra en
las funcionalidades 'Reparar la base de
datos' y 'Reparar y optimizar la base
de datos' ('Repair Database' y 'Repair and Optimize Database') en 'wp-admin/maint/repair.php'. Enviando
múltiples peticiones de a este script se consigue aumentar el consumo de
recursos, pudiendo causar una denegación de servicio que afectara a todo el
servidor:
Para que la vulnerabilidad pueda
ser explotada es necesario que la opción 'WP_ALLOW_REPAIR'
esté habilitada en el archivo de configuración 'wp-config.php'.
Aún no tiene asignado ningún
identificador CVE. Son vulnerables las versiones de WordPress desde la 2.9 a la 3.3.1.
Más información:
DoS vulnerability in WordPress
DoS
vulnerability in WordPress
Juan José Ruiz
No puedo creer que hayan publicado esta vulnerabilidad tan estupida!!!
ResponderEliminarJaja, la próxima publicación será la "DoS vulnerability in MustLive"[1], sin CVE asignado aún.
ResponderEliminar[1]http://seclists.org/fulldisclosure/2012/Apr/170
pero necesitas cuenta de admin???
ResponderEliminar