Warning, world wide web development

Bug e FIX nell’aggiornamento ad Akismet v2.0.2


Askimet ci aiuta contro lo spam nei commenti ma David Kierznowski ha pubblicato un advisory riguardo la vulnerabilità di sicurezza del popolare plugin antispam.

Il POC è disponibile a questo indirizzo.

Link: Askimet v2.0.2

via Exploit.blogosfere.it

Bene, se avete eseguito questo aggiornamento sappiate che è stato inserito un nuovo bug.

Per essere più precisi la riga 529

 

echo '<p>'.sprintf(__('<a href="%1$s">Akismet</a> has protected your site from <a href="%2$s">%3$s spam comments</a>.'), 'http://akismet.com/', clean_url("$link?page=akismet-admin"), number_format($count) ).'</p>';

Occorre sostituirla con il seguente workaround:

echo '<p>'.sprintf(__('<a href="%1$s">Akismet</a> has protected your site from <a href="%2$s">%3$s spam comments</a>.'), 'http://akismet.com/', "$link?page=akismet-admin", number_format($count) ).'</p>';

Se qualcosa non vi è chiaro contattatemi pure.

 

 

 

Articoli correlati

  • No related posts
  • Seguici Tramite Feed Rss Se ti è piaciuto questo articolo, seguici


    6 Commenti a “Bug e FIX nell’aggiornamento ad Akismet v2.0.2”

    1. Wordpress: Akismet XSS Security Flaw « FreeUser - Binary People scrive:

      […] Antonio Trigiani w3bL0g - Ingegneria Informatica Virale » Blog Archive » Bug e FIX nell’aggi… Bene, se avete eseguito questo aggiornamento sappiate che è stato inserito un nuovo bug.Per essere più precisi la riga 529 echo ‘<p>’.sprintf(__(’<a href=”%1$s”>Akismet</a> has protected your site from <a href=”%2$s”>%3$s spam comments</a>.’), ‘http://akismet.com/’, clean_url(”$link?page=akismet-admin”), number_format($count) ).’</p>’; […]

    2. Wordpress... sparliamone « gp scrive:

      […] Antonio Trigiani w3bL0g - Bug e FIX nell’aggiornamento ad Akismet v2.0.2 […]

    3. Wordpress 2.2 su …time is what you make of it… scrive:

      […] Aggiornamento del 16 Maggio 2007 ore 18:45: è stato rinvenuto un ulteriore bug nella versione 2.0.2 di Akismet. Per maggiori informazioni e per indicazioni sulla modifica da effettuare, andate qui. […]

    4. neon scrive:

      In realtà credo basti sostituire i doppi apici con il singolo ” -> ‘

    5. al0ha scrive:

      In realtà no neon.
      Diciamo innanzitutto che l’errore lo vedi nella dashboard di wordpress.
      Dove ti dice il numero di messaggi di spam filtrati

      Nel Caso utilizzassimo
      clean_url('$link?akismet-admin')
      come penso di aver capito dalle tue parole (magari mi sbaglio), nella dashboard risulterebbe
      Akismet has protected your site from 143 spam comments.

      Il link su spam comments diventerebbe:
      http://link/?page=akismet-admin
      rendodolo di fatto inutilizzabile.

      Nel caso in cui ti abbia interpretato male chiedo venia. :)

    6. neon scrive:

      Hai ragione, non avevo provato a fare la modifica ed ho scritto una sciocchezza.

      Anche perchè proprio clean_url() aggiunge http:// davanti all’url creando il problema.

      Come non detto ;)

    Scrivi un commento

    Close
    E-mail It