Comentarios en: Parche para WordPress 2.0, 2.0.1 y 2.0.2 RC1 – Full path disclosure- los 17 archivos.

Por: dabo

dabo — Tue, 16 May 2006 20:15:13 +0000

hola amigo, lo mejor es que lo pruebes en una versión parcheada sin plugins, la manera de ver si tu ruta es visitble o no es tipeando la siguiente url

http://www.daboblog.com/wp-settings.php

Cambia http://www.daboblog.com por la ruta de tu wordpress y si la ruta te sale (cosa que he visto arriba) significa que tu servidor no está configurado como debería

En ese caso puedes cambiar perfectamente unos archivos por otros pero M.Almeida de mangasverdes.es todavia se tomó más trabajo y ordenó mis archivos para que sea más fácil actualizarlo, encontrarás el link en su web.

Como te digo no debería darte ninguna pega porque está comprobado por mucha gente, supongo que será porque como dices la versión está obsoleta

Un saludo y suerte -:)

Por: ramazzottiano

ramazzottiano — Mon, 15 May 2006 19:21:28 +0000

Hola dabo, bueno estaba usando la version 2.0, sera ese el problema? Aun no he intentado con la mas nueva version, quise hacer la prueba en un blog obsoleto que tengo.

Grazie!

$wp_version = ’2.0′;
$wp_db_version = 3308;

Por: dabo

dabo — Mon, 15 May 2006 16:01:18 +0000

Hola amigo, tenías el Wp actualizado a la última versión?? te lo digo porque se lo han bajado cientos de personas y no les ha dado pegas ya que los archivos que te has bajado son iguales a los originales salvo esos cambios en el código.

Ya me comentas, un saludo -:)

Por: ramazzottiano

ramazzottiano — Mon, 15 May 2006 15:06:01 +0000

He implementado el parche, pero al querer entrar me marca este error:

Warning: array_filter() [function.array-filter]: The second argument, ‘Array’, should be a valid callback in /home/jltorres/www/ramazzottiano/wordpress/wp-includes/capabilities.php on line 152

Warning: Invalid argument supplied for foreach() in /home/jltorres/www/ramazzottiano/wordpress/wp-includes/capabilities.php on line 156

Warning: Cannot modify header information – headers already sent by (output started at /home/jltorres/www/ramazzottiano/wordpress/wp-includes/capabilities.php:152) in /home/jltorres/www/ramazzottiano/wordpress/wp-includes/pluggable-functions.php on line 221

Por: WordPress seguro | ]V[orlock ۞ Liberitas

WordPress seguro | ]V[orlock ۞ Liberitas — Sat, 13 May 2006 09:32:15 +0000

[...] Si tienes un blog basado en WordPress y no sabes qué significa "Full path disclosure" deberías echarle un vistazo al post de Dabo acerca del tema. Es un error que puede mostrar en qué directorio tienes alojado tu instalación de WP y permite adivinar la estructura interna de tu blog. Esto supone un riesgo de seguridad bastante importante. Introduce en tu navegador http://dirección-de-tu-blog/wp-settings.php y verás a lo que me refiero. [...]

Por: text-decoration:none; » Blog Archive » Vulnerabilidades

text-decoration:none; » Blog Archive » Vulnerabilidades — Fri, 17 Mar 2006 10:47:55 +0000

[...] El tema de las vulnerabilidades existentes en esta versi�n de WordPress son dos: uno es el que nombr� en el post anterior y el otro es Cross Site Scripting (XSS), para la soluci�n del primero es seguir las instrucciones para actualizar los archivos conflictivos o instalar el Patch de Dabo, se recomienda leer antes este ap�rtado y tener en cuenta que es lo que se modificar�. [...]

Por: Blogueando.com - ¡Actualidad. Ahora con Podcast! » Blog Archive » WordPress 2.0.2

Fri, 10 Mar 2006 22:34:11 +0000

[...] Esta disponible desde hace unos días una solución a este problema el cual he adoptado para todos los weblogs de Blogueando.net y que procedí a corregir manualmente para comprender mejor la naturaleza del mismo. [...]

Por: DaboBlog » Blog Archive » Wordpress 2.0.2 Security Release, versión estable para descargar

Fri, 10 Mar 2006 09:38:59 +0000

[...] Hola amigos, ya está disponible para su descarga desde hace 3 horas la versión 2.0.2 de WordPress que corrige entre otros el comentado Bug XSS, tengo que comprobarlo pero parece que el “full disclosure” (adivinación de la ruta en la cual está instalado WordPress y de paso vuestras otras webs) no lo corrige con lo que os recomiendo parchearlo manualmente. [...]

Por: Liamngls

Liamngls — Fri, 10 Mar 2006 00:33:48 +0000

Aquí se despista uno y …..

Trackback It!!

No te preocupes Mabel … si eso me echará a mi que me encontró en la calle .. a tí te aguantará un poco más … xD

Por: Diario a Borbo » Parche para WordPress - Full path disclosure

Diario a Borbo » Parche para WordPress - Full path disclosure — Thu, 09 Mar 2006 20:19:20 +0000

[...] Desde Daboblog han colgado los 17 archivos parcheados susceptibles de ser ejecutados con la consiguiente adivinación del path de vuestro WordPress. [...]