Una falla in wordpress è stata scoperta da qualche ora, si tratta di una vulnerabilità del tipo SQL Injection e per utilizzarla è già pronto un exploit.
C’è da dire che è possibile sfruttare questa vulnerabilità solo se si è registrati o subscriber del blog.
La falla è situata alla riga 535 di xmlrpc.php di wordpress e
$max_results = $args[4];
Per evitare spiacevoli inconvenienti vi consiglio di editare il file xmlrpc.php sostituendo alla riga incriminata la seguente:
$max_results = (int) $args[4];
In pratica si effettua un type casting ovvero una forzatura della tipologia della variabile.
No Comments su “Wordpress 2.2 (xmlrpc.php) Vulnerabilità SQL Injection”