Warning, world wide web development

Mag 16

Bug e FIX nell’aggiornamento ad Akismet v2.0.2

Tags: sicurezza, Hacks, Coding |


Askimet ci aiuta contro lo spam nei commenti ma David Kierznowski ha pubblicato un advisory riguardo la vulnerabilità di sicurezza del popolare plugin antispam.

Il POC è disponibile a questo indirizzo.

Link: Askimet v2.0.2

via Exploit.blogosfere.it

Bene, se avete eseguito questo aggiornamento sappiate che è stato inserito un nuovo bug.

Per essere più precisi la riga 529

 

echo '<p>'.sprintf(__('<a href="%1$s">Akismet</a> has protected your site from <a href="%2$s">%3$s spam comments</a>.'), 'http://akismet.com/', clean_url("$link?page=akismet-admin"), number_format($count) ).'</p>';

Occorre sostituirla con il seguente workaround:

echo '<p>'.sprintf(__('<a href="%1$s">Akismet</a> has protected your site from <a href="%2$s">%3$s spam comments</a>.'), 'http://akismet.com/', "$link?page=akismet-admin", number_format($count) ).'</p>';

Se qualcosa non vi è chiaro contattatemi pure.

 

 

 

Articoli correlati

  • No related posts
    • Seguici Tramite Feed Rss Se ti è piaciuto questo articolo, seguici

    Puoi seguire i commenti a questo articolo tramite il feed RSS 2.0. Puoi inviare un commento, o fare un trackback dal tuo sito.


    6 Commenti a “Bug e FIX nell’aggiornamento ad Akismet v2.0.2”

    1. Wordpress: Akismet XSS Security Flaw « FreeUser - Binary People scrive:
      16 Maggio 2007 alle 11:01

      […] Antonio Trigiani w3bL0g - Ingegneria Informatica Virale » Blog Archive » Bug e FIX nell’aggi… Bene, se avete eseguito questo aggiornamento sappiate che è stato inserito un nuovo bug.Per essere più precisi la riga 529 echo ‘<p>’.sprintf(__(’<a href=”%1$s”>Akismet</a> has protected your site from <a href=”%2$s”>%3$s spam comments</a>.’), ‘http://akismet.com/’, clean_url(”$link?page=akismet-admin”), number_format($count) ).’</p>’; […]

    2. Wordpress... sparliamone « gp scrive:
      16 Maggio 2007 alle 14:19

      […] Antonio Trigiani w3bL0g - Bug e FIX nell’aggiornamento ad Akismet v2.0.2 […]

    3. Wordpress 2.2 su …time is what you make of it… scrive:
      16 Maggio 2007 alle 17:45

      […] Aggiornamento del 16 Maggio 2007 ore 18:45: è stato rinvenuto un ulteriore bug nella versione 2.0.2 di Akismet. Per maggiori informazioni e per indicazioni sulla modifica da effettuare, andate qui. […]

    4. neon scrive:
      16 Maggio 2007 alle 19:50

      In realtà credo basti sostituire i doppi apici con il singolo ” -> ‘

    5. al0ha scrive:
      17 Maggio 2007 alle 01:29

      In realtà no neon.
      Diciamo innanzitutto che l’errore lo vedi nella dashboard di wordpress.
      Dove ti dice il numero di messaggi di spam filtrati

      Nel Caso utilizzassimo
      clean_url('$link?akismet-admin')
      come penso di aver capito dalle tue parole (magari mi sbaglio), nella dashboard risulterebbe
      Akismet has protected your site from 143 spam comments.

      Il link su spam comments diventerebbe:
      http://link/?page=akismet-admin
      rendodolo di fatto inutilizzabile.

      Nel caso in cui ti abbia interpretato male chiedo venia. :)

    6. neon scrive:
      17 Maggio 2007 alle 22:26

      Hai ragione, non avevo provato a fare la modifica ed ho scritto una sciocchezza.

      Anche perchè proprio clean_url() aggiunge http:// davanti all’url creando il problema.

      Come non detto ;)

    Scrivi un commento

    Close
    E-mail It