Vulnerabilità XSS per WordPress 3.0.3

Oggi pomeriggio è stato svelato un nuovo bug relativo all’ultima versione di wordpress documentato al seguente link http://bugsearch.net/it/11185/wordpress-303-stored-xss-ie76-ns81.html

Prontamente il team di wordpress stasera ha rilasciato la nuova versione 3.0.4 che risolve il bug ma sfortunatamente ad ora è disponibile solo in lingua inglese, per tutti gli utenti con wordpress localizzato in altre lingue consiglio di scaricare il pacchetto 3.0.4 disponibile al seguente indirizzo http://wordpress.org/latest.zip, scompattarlo e prendere i file formatting.php e kses.php dalla directory wp-includes e sostituirli.

Questo alla luce del fatto che sono gli unici 2 file modificati nella nuova branch di wordpress come specificato all’indirizzo http://core.trac.wordpress.org/changeset/17172/branches/3.0.

Ovviamente appena disponibile il pacchetto localizzato consiglio comunque di eseguire l’aggiornamento.

WordPress si aggiorna alla versione 3.0.3

È stata rilasciata venerdì la nuova versione di WordPress che porta con se dei bug fix, uno dei quali abbastanza importante che risolve una falla della pubblicazione remota che permetteva a utenti maliziosi di pubblicare e cancellare articoli dai blog.

Per default quest’impostazione è disabilitata ma per sicurezza meglio controllare in Impostazioni -> Pubblicazione Remota che non ci siano le spunte su Atom Publishing e XML-RPC a meno che non siano servizi che veramente usate. Continue reading