Se ha anunciado una vulnerabilidad en WordPress, que podría emplearse
para provocar ataques de cross site scripting.
WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP
y con soporte de base de datos MySQL, y ofrecido a la comunidad bajo
licencia GPL. WordPress es uno de los gestores de blogs más extendido
en la blogosfera.
El problema se debe a un error de validación de entradas en la función
«get_file_description()» cuando se llama a través del script
«wp-admin/templates.php», lo que podría ser empleado para ejecutar
código script arbitrario en el navegador del usuario bajo el contexto
de seguridad del sitio web afectado.
El problema será corregido en la versión 2.0.6 de WordPress, pero se ha
publicado una actualización para la versión 2.0.5 disponible por CVS:
http://trac.wordpress.org/changeset/4665
laboratorio@hispasec.com
Más información:
WordPress «get_file_description()» Function Client-Side Cross Site Scripting Vulnerability
http://www.frsirt.com/english/advisories/2006/5191
WordPress Persistent XSS
http://michaeldaw.org/md-hacks/wordpress-persistent-xss/
