Premi "Invio" per passare al contenuto

Tappata falla a WordPress

wordpress.gifCome segnalato da Andrea Beggi sul suo blog pare ci sia una vulnerabilità in WordPress 2.0.5 nel file /wp-admin/template.php e dicono di guardare qui per risolvere la cosa.
Ho provato a sostituire la riga 114 proposta nel link precedente al mio file e mi dava errore, poi ho sostituito il file intero e mi dava errore lo stesso perché credo che il file sia per WordPress 2.0.6 che ha una diversa struttura.
Io ho sostituito questa riga:

echo "<li><a href='templates.php?file=" . wp_specialchars($recent, true) . "'>" . wp_specialchars(get_file_description(basename($recent))) . "</a></li>";

alla mia riga 114 e spero vada bene per risolvere la vulnerabilità (ho quintali di cracker ai miei bastioni) :)

Per intenderci la riga proposta era:

echo "<li><a href='templates.php?file=" . attribute_escape($recent) . "'>" . wp_specialchars(get_file_description(basename($recent))) . "</a></li>";

ma a me dava, nel menù Gestione / File, l’errore:
Fatal error: Call to undefined function attribute_escape() in /wp-admin/templates.php on line 114

Aspetto con ansia la versione 2.1 per gli sfracelli che provocherà.

8 commenti

  1. Paolo Gatti
    Paolo Gatti 30 Dicembre 2006

    Cavolo, mi hai fregato sul tempo, ero venuto sul tuo blog proprio per segnalarti la vulnerabilità! :-D

    Io ho appena sostituito il vecchio file con quello preso qui: http://trac.wordpress.org/changeset/4665#file0 e tutto sembra funzionare.

    Augurissimi di Buon Anno (visto che ci siamo quasi) a te e Serena. A presto! :-)

  2. Daxeel
    Daxeel 30 Dicembre 2006

    Paolo, io ho provato a sostituire il file ma mi dà errore, non so perché. Intanto me lo tengo così.
    Se vai su Gestione / File non ti dà errore a te?

    Auguri a Daniela ed a te di un buonissimo 2007.

    P.S. Hanno aggiornato questo; meno MACcoso ma più pulito :) Provalo…

  3. Paolo Gatti
    Paolo Gatti 30 Dicembre 2006

    Cavolo, ho riprovato di nuovo e ora mi da errore, prima no.. evidentemente il browser aveva in cache la vecchia versione del file.

    MI sa che mi tocca fare a manina anche a me :)

    P.S. si l’avevo visto il tiger-administration ed ora mi sembra molto molto più pulito!

    Ciaoooo!

  4. Paolo Gatti
    Paolo Gatti 30 Dicembre 2006

    Mi sono rivisto il codice, hai fatto benissimo tu ripristinando la vecchia funzione, tanto non era quella il problema, ma era quella dopo che hai, giustamente, sostituito. Pure io ho fatto così e funziona egregiamente!

    A presto!

  5. Daxeel
    Daxeel 30 Dicembre 2006

    Grazie Paolo, non ero sicurissimo di aver risolto. Adesso sì :)

  6. Paolo Gatti
    Paolo Gatti 30 Dicembre 2006

    Ahaha si si, adesso sei proprio in una botte di ferro :D

  7. camu
    camu 30 Dicembre 2006

    Io non ci avevo fatto caso che la patch era “difettosa” (viva l’upload dei file del tema via FTP) e ora così mi funziona. Comunque per stare tranquillo, visto che ho un IP statico, io avevo già messo da un pezzo l’accesso all’admin area solo dal mio IP (viva .htaccess).

  8. Daxeel
    Daxeel 31 Dicembre 2006

    Io me ne sono accorto perché andando a vedere, nel mio file originale, la riga da sostituire l’ho trovata diversa da quella che dava sul sito come riga prima della patch. Quindi indagando ho visto che mi dava quell’errore in Gestione/File.

I commenti sono chiusi.