Bug e FIX nell’aggiornamento ad Akismet v2.0.2

By al0ha Maggio 16, 2007 Post a comment

Askimet ci aiuta contro lo spam nei commenti ma David Kierznowski ha pubblicato un advisory riguardo la vulnerabilità di sicurezza del popolare plugin antispam.

Il POC è disponibile a questo indirizzo.

Link: Askimet v2.0.2

via Exploit.blogosfere.it

Bene, se avete eseguito questo aggiornamento sappiate che è stato inserito un nuovo bug.

Per essere più precisi la riga 529

 

echo ‘<p>’.sprintf(__(’<a href=”%1$s”>Akismet</a> has protected your site from <a href=”%2$s”>%3$s spam comments</a>.’), ‘http://akismet.com/’, clean_url(”$link?page=akismet-admin”), number_format($count) ).’</p>’;

Occorre sostituirla con il seguente workaround:

echo ‘<p>’.sprintf(__(’<a href=”%1$s”>Akismet</a> has protected your site from <a href=”%2$s”>%3$s spam comments</a>.’), ‘http://akismet.com/’, “$link?page=akismet-admin”, number_format($count) ).’</p>’;

Se qualcosa non vi è chiaro contattatemi pure.

 

 

 

  • Print this article!
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • Technotizie
  • FriendFeed
  • IndianPad
  • Live
  • Netvibes
  • Netvouz
  • NewsVine
  • Reddit
  • Segnalo
  • Slashdot
  • StumbleUpon
  • Twitter
  • Yahoo! Bookmarks

Commenti

  1. 6 comments su “Bug e FIX nell’aggiornamento ad Akismet v2.0.2”

  1. [...] Antonio Trigiani w3bL0g – Ingegneria Informatica Virale » Blog Archive » Bug e FIX nell’aggi… Bene, se avete eseguito questo aggiornamento sappiate che è stato inserito un nuovo bug.Per essere più precisi la riga 529 echo ‘<p>’.sprintf(__(’<a href=”%1$s”>Akismet</a> has protected your site from <a href=”%2$s”>%3$s spam comments</a>.’), ‘http://akismet.com/’, clean_url(”$link?page=akismet-admin”), number_format($count) ).’</p>’; [...]

    Posted by Wordpress: Akismet XSS Security Flaw « FreeUser - Binary People | Maggio 16, 2007, 11:01

  2. [...] Antonio Trigiani w3bL0g – Bug e FIX nell’aggiornamento ad Akismet v2.0.2 [...]

    Posted by Wordpress... sparliamone « gp | Maggio 16, 2007, 14:19

  3. [...] Aggiornamento del 16 Maggio 2007 ore 18:45: è stato rinvenuto un ulteriore bug nella versione 2.0.2 di Akismet. Per maggiori informazioni e per indicazioni sulla modifica da effettuare, andate qui. [...]

    Posted by Wordpress 2.2 su …time is what you make of it… | Maggio 16, 2007, 17:45

  4. In realtà credo basti sostituire i doppi apici con il singolo ” -> ‘

    Posted by neon | Maggio 16, 2007, 19:50

  5. In realtà no neon.
    Diciamo innanzitutto che l’errore lo vedi nella dashboard di wordpress.
    Dove ti dice il numero di messaggi di spam filtrati

    Nel Caso utilizzassimo
    clean_url('$link?akismet-admin')
    come penso di aver capito dalle tue parole (magari mi sbaglio), nella dashboard risulterebbe
    Akismet has protected your site from 143 spam comments.

    Il link su spam comments diventerebbe:
    http://link/?page=akismet-admin
    rendodolo di fatto inutilizzabile.

    Nel caso in cui ti abbia interpretato male chiedo venia. :)

    Posted by al0ha | Maggio 17, 2007, 01:29

  6. Hai ragione, non avevo provato a fare la modifica ed ho scritto una sciocchezza.

    Anche perchè proprio clean_url() aggiunge http:// davanti all’url creando il problema.

    Come non detto ;)

    Posted by neon | Maggio 17, 2007, 22:26

Inserisci un commento