בעיית אבטחה בוורדפרס (כל הגרסאות, כולל 2.0.5)
אתמול אלעד הפנה אותי לפוסט בנדון.
הבעיה מסווגת כסיכון גבוה וקיימת בכל גרסאות וורדפרס, כולל 2.0.5.
הבעיה תוקנה מידית בבלוגלי ובבלוג שלי, ללא כל תופעות לוואי.
להבדיל משרית החרוצה, איני ממליץ לקחת קובץ מתוקן מוורדפרס:
- במידה ואתם משתמשים בוורדפרס בעברית, יש בקובץ שינויים.
- במידה ואתם עובדים בגרסאות קודמות ל-2.0.5 (תתעוררו, הלו..), עשויים להיות שינויים לא תואמים בגרסה ששרית מציעה להוריד לעומת הגרסה שלכם.
קיצר, גבו את הקובץ wp-admin/templates.php שלכם, ותקנו לפי זה:
- חפשו את המחרוזת: get_file_description(basename. שורה 114 ב-2.0.5.
- שנו אותה ל: wp_specialchars(get_file_description(basename, ולא לשכוח לסגור מהצד השני ב-(.
עדכון: לא לעשות לכם חיים קשים - אם אתם משתמשים בוורדפרס בעברית 2.0.5 (ואם לא תתעדכנו) של רן, קובץ מתוקן נמצא כאן לנוחיותכם.











חמישי, 04 בינואר 2007 בשעה 10:19
רגע רגע, אז אני יכולה להוסיף את ההמלצתות שלך אצלי?
חמישי, 04 בינואר 2007 בשעה 10:32
מה שאת רוצה, מתי שאת רוצה. אפילו את זיהוי החלליות היקר לי מכל.
חמישי, 04 בינואר 2007 בשעה 10:41
מי שמתעניין בחומר הטכני שיקרא כאן
חמישי, 04 בינואר 2007 בשעה 14:47
[…] 2007 בשעה 14:47 והוא שייך לנושא WordPress את כל התגובות והטראקבאקים אפשר לקרוא ב-RSS 2.0 feed. אתה יכול להגיב על הפוסטאו לשלוחטראקבאק מבלוג אחר […]
חמישי, 04 בינואר 2007 בשעה 16:27
יעודכן, תודה תום
חמישי, 04 בינואר 2007 בשעה 17:05
[…] עדכון -תום מרחיב וגם מציע קובץ המתאים לוורדפרס עברית 2.0.55. […]
שבת, 06 בינואר 2007 בשעה 9:11
[…] בעקבות גילוי פרצת האבטחה, שוחררה, לתיקון הבעיה, גרסת וורדפרס 2.0.6 (עדיין רק באנגלית). […]
שני, 15 בינואר 2007 בשעה 19:01
[…] בוורדפרס. הפעם מדובר בבקשת HTTP שעשויה לשמש לחשיפת מידע מוורדפרס. כל הגרסאות, כולל 2.0.5 המעוברתת, ו-2.0.6 הלא, חשופות. […]
חמישי, 31 במאי 2007 בשעה 13:59
כן, יש כבר עדכון שמטפל בנושא..