Denegación de servicio en WordPress
Se ha publicado una vulnerabilidad que afecta a WordPress y que podría
permitir que un atacante remoto llevara a cabo una denegación de
servicio.
WordPress es un sistema de gestión de contenidos (CMS) de código libre
muy utilizado para crear blogs y páginas web que se actualizan con
frecuencia. Actualmente se encuentra en la versión 3.3.1.
El usuario MustLive ha encontrado una vulnerabilidad de abuso de
funcionalidad (AoF) en WordPress. Es abuso de funcionalidad es una
técnica de ataque en el que se utilizan las propias funcionalidades de
un sitio para atacarlo. Un atacante remoto podría causar una denegación
de servicio mediante un ataque de este tipo.
La vulnerabilidad se encuentra en las funcionalidades ‘Reparar la base
de datos’ y ‘Reparar y optimizar la base de datos’ (‘Repair Database’ y
‘Repair and Optimize Database’) en ‘wp-admin/maint/repair.php’. Enviando
múltiples peticiones de a este script se consigue aumentar el consumo de
recursos, pudiendo causar una denegación de servicio que afectara a todo
el servidor:
http://SITIO_WEB/wp-admin/maint/repair.php?repair=1&_wpnonce=a4ca36d5ff
http://SITIO_WEB/wp-admin/maint/repair.php?repair=2&_wpnonce=a4ca36d5ff
Para que la vulnerabilidad pueda ser explotada es necesario que la
opción ‘WP_ALLOW_REPAIR’ esté habilitada en el archivo de configuración
‘wp-config.php’.
Aún no tiene asignado ningún identificador CVE. Son vulnerables las
versiones de WordPress desde la 2.9 a la 3.3.1.
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.