Alex Concha encontró una vulnerabilidad de inyección SQL en el plugin de Estadísticas de WordPress.com. Si están usando dicho plugin, es obligatorio descargar la nueva versión para evitar problemas.
Como el plugin solo funciona oficialmente para blogs con WordPress 2.1 y superior, los que tengan la versión no oficial para WordPress 2.0.x deberán hacer el parche a mano. El cambio realizado consiste en agregar una linea a la función stats_get_posts:
function stats_get_posts( $args ) {
list( $post_ids ) = $args;
$post_ids = array_map( 'intval', (array) $post_ids );
$r = 'include=' . join(',', $post_ids);
$posts = get_posts( $r );
$_posts = array();
foreach ( $post_ids as $post_id )
$_posts[$post_id] = stats_get_post($post_id);
return $_posts;
}
Javier disculpa mi ignorancia, pero eso solo aplica a los que tienen host propio verdad? o para todos? asi como yo que acabo de crear mi blog en wordpress también lo tendría que hacer o no? saludos!
En teoría afecto a todos, pero como en WordPress.com las actualizaciones las hacen ellos, ya estamos protegidos… solo quedan los de hosting propio que se actualicen.
javier muchas gracias por la info ! dato importante !!!
[…] Vulnerabilidad en el plugin de Estadísticas de WordPress.com […]
Gracias Javier por la información, aunque yo no tengo hosting propio es bueno enterarse de estas cosas. Salu2!!