Falha no WordPress permite ver drafts, artigos pendentes e artigos futuros
Uma falha no WordPress permite que qualquer pessoa consiga visualizar todos os artigos de um blog, incluindo artigos que ainda não foram publicados.
Alterando o endereço, um leitor poderá ver todos os artigos, artigos agendados, drafts ou á espera de aprovação.
Uma falha na verificação do estatuto de administrador acaba por revelar todo o futuro. Embora aparentemente não seja vulnerável a malware permite que leitores mal intencionados consigam ver futuros artigos e roubar conteúdo.
Esta vulnerabilidade não é funcional se tiverem um redireccionamento das feeds para o feedburner por exemplo. Podem faze-lo através do plugin Fedburner Feedsmith.
Quem não quiser usar o feedburner poderá resolver o problema da seguinte forma:
- Na pasta wp-includes procurem o ficheiro query.php
- Na linha 37 deverão encontrar algo deste género:
- Agora é necessário editar essa linha e onde está ‘wp-admin/’); !==false)); deverão editar e alterar para ‘muiomuio.net/wp-admin/’); !==false)); obvio que onde está muiomuio.net colocam o vosso site.
E já está. Se usam algum plugin para fazer cache do blog aconselho a limpar. Isto é um fix temporário e a nova versão do WordPress deverá ter cuidado deste pequeno problema. Portanto quando a nova versão sair actualiza-te rapidamente.
1 Comment(s)
Comments RSS TrackBack Identifier URI
Leave a comment
No top 5 do Brasil há um blog com esta vulnerabilidade, é possível ver os posts futuros.
Ja avisei o dono do blog mas aparentemente não quis saber …