Falha no WordPress permite ver drafts, artigos pendentes e artigos futuros

• Tweet
• Sharebar

• Tweet

Uma falha no WordPress permite que qualquer pessoa consiga visualizar todos os artigos de um blog, incluindo artigos que ainda não foram publicados.

Alterando o endereço, um leitor poderá ver todos os artigos, artigos agendados, drafts ou á espera de aprovação.
Uma falha na verificação do estatuto de administrador acaba por revelar todo o futuro. Embora aparentemente não seja vulnerável a malware permite que leitores mal intencionados consigam ver futuros artigos e roubar conteúdo.

Esta vulnerabilidade não é funcional se tiverem um redireccionamento das feeds para o feedburner por exemplo. Podem faze-lo através do plugin Fedburner Feedsmith.

Quem não quiser usar o feedburner poderá resolver o problema da seguinte forma:

1. Na pasta wp-includes procurem o ficheiro query.php
2. Na linha 37 deverão encontrar algo deste género:
   
3. Agora é necessário editar essa linha e onde está ‘wp-admin/’); !==false)); deverão editar e alterar para ‘muiomuio.net/wp-admin/’); !==false)); obvio que onde está muiomuio.net colocam o vosso site.

E já está. Se usam algum plugin para fazer cache do blog aconselho a limpar. Isto é um fix temporário e a nova versão do WordPress deverá ter cuidado deste pequeno problema. Portanto quando a nova versão sair actualiza-te rapidamente.

1 Comment + Add Comment

• 
  julioverme 30 de Dezembro de 2007 às 1:31

  No top 5 do Brasil há um blog com esta vulnerabilidade, é possível ver os posts futuros.
  Ja avisei o dono do blog mas aparentemente não quis saber …

  Responder