Desde Milw0rm, una de las mayores bases de datos de exploits que existen, nos hemos enterado de que existe una vulnerabilidad en una de las versiones del conocido plugin para wordpress wp-forum 1.7.8.
El Exploit es sobre Inyección de SQl en la que fácilmente cualquier usuario puede copiar una url al navegador ( como generalmente se realiza una inyección sql) y aprovechar esta vulnerabilidad.
El Bug es grave pues aún hay usuarios que usan este plugin y se recomienda actualizar a la versión 2.2 y esperemos que no ponga en riesgo todos los sitios web que usan este plugin, ya que encotnrar sitios web vulnerables a este plugin es muy fácil, con tan solo escribir los «dorks» en google se pueden encontrar muchos sitios vulnerables:
allinurl:page_id inurl:showforum
inurl:plugins/wp-forum
«index of /» wp-forum
Una solución temporal es que desactiven el plugin mientras se esperan nuevas actualizaciones o actualizar inmediatamente tu versión del wordpress y del plugin, ya que dejar esto así puede acabar en un «deface» en el peor de los casos.
Web del autor | Fahlstad
