Bug e FIX nell’aggiornamento ad Akismet v2.0.2

Askimet ci aiuta contro lo spam nei commenti ma David Kierznowski ha pubblicato un advisory riguardo la vulnerabilità di sicurezza del popolare plugin antispam.

Il POC è disponibile a questo indirizzo.

Link: Askimet v2.0.2

via Exploit.blogosfere.it

Bene, se avete eseguito questo aggiornamento sappiate che è stato inserito un nuovo bug.

Per essere più precisi la riga 529

 

echo ‘<p>’.sprintf(__(‘<a href=”%1$s”>Akismet</a> has protected your site from <a href=”%2$s”>%3$s spam comments</a>.’), ‘http://akismet.com/’, clean_url(“$link?page=akismet-admin”), number_format($count) ).’</p>’;

Occorre sostituirla con il seguente workaround:

echo ‘<p>’.sprintf(__(‘<a href=”%1$s”>Akismet</a> has protected your site from <a href=”%2$s”>%3$s spam comments</a>.’), ‘http://akismet.com/’, “$link?page=akismet-admin”, number_format($count) ).’</p>’;

Se qualcosa non vi è chiaro contattatemi pure.

 

 

 

  • Print this article!
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • Technotizie
  • FriendFeed
  • IndianPad
  • Live
  • Netvibes
  • Netvouz
  • NewsVine
  • Reddit
  • Segnalo
  • Slashdot
  • StumbleUpon
  • Twitter
  • Yahoo! Bookmarks

Commenti

  1. 6 comments su “Bug e FIX nell’aggiornamento ad Akismet v2.0.2”

  1. [...] Antonio Trigiani w3bL0g – Ingegneria Informatica Virale Blog Archive Bug e FIX nell’aggi… Bene, se avete eseguito questo aggiornamento sappiate che stato inserito un nuovo bug.Per essere pi precisi la riga 529 echo <p>.sprintf(__(<a href=%1$s>Akismet</a> has protected your site from <a href=%2$s>%3$s spam comments</a>.), http://akismet.com/, clean_url($link?page=akismet-admin), number_format($count) ).</p>; [...]

    Posted by Wordpress: Akismet XSS Security Flaw « FreeUser - Binary People | maggio 16, 2007, 11:01
  2. [...] Antonio Trigiani w3bL0g – Bug e FIX nell’aggiornamento ad Akismet v2.0.2 [...]

    Posted by Wordpress... sparliamone « gp | maggio 16, 2007, 14:19
  3. [...] Aggiornamento del 16 Maggio 2007 ore 18:45: stato rinvenuto un ulteriore bug nella versione 2.0.2 di Akismet. Per maggiori informazioni e per indicazioni sulla modifica da effettuare, andate qui. [...]

    Posted by Wordpress 2.2 su …time is what you make of it… | maggio 16, 2007, 17:45
  4. In realt credo basti sostituire i doppi apici con il singolo ” -> ‘

    Posted by neon | maggio 16, 2007, 19:50
  5. In realt no neon.
    Diciamo innanzitutto che l’errore lo vedi nella dashboard di wordpress.
    Dove ti dice il numero di messaggi di spam filtrati

    Nel Caso utilizzassimo
    clean_url('$link?akismet-admin')
    come penso di aver capito dalle tue parole (magari mi sbaglio), nella dashboard risulterebbe
    Akismet has protected your site from 143 spam comments.

    Il link su spam comments diventerebbe:
    http://link/?page=akismet-admin
    rendodolo di fatto inutilizzabile.

    Nel caso in cui ti abbia interpretato male chiedo venia. :)

    Posted by al0ha | maggio 17, 2007, 01:29
  6. Hai ragione, non avevo provato a fare la modifica ed ho scritto una sciocchezza.

    Anche perch proprio clean_url() aggiunge http:// davanti all’url creando il problema.

    Come non detto ;)

    Posted by neon | maggio 17, 2007, 22:26

Inserisci un commento