Come segnalato da Andrea Beggi sul suo blog pare ci sia una vulnerabilità in WordPress 2.0.5 nel file /wp-admin/template.php e dicono di guardare qui per risolvere la cosa.
Ho provato a sostituire la riga 114 proposta nel link precedente al mio file e mi dava errore, poi ho sostituito il file intero e mi dava errore lo stesso perché credo che il file sia per WordPress 2.0.6 che ha una diversa struttura.
Io ho sostituito questa riga:
echo "<li><a href='templates.php?file=" . wp_specialchars($recent, true) . "'>" . wp_specialchars(get_file_description(basename($recent))) . "</a></li>";
alla mia riga 114 e spero vada bene per risolvere la vulnerabilità (ho quintali di cracker ai miei bastioni) :)
Per intenderci la riga proposta era:
echo "<li><a href='templates.php?file=" . attribute_escape($recent) . "'>" . wp_specialchars(get_file_description(basename($recent))) . "</a></li>";
ma a me dava, nel menù Gestione / File, l’errore:
Fatal error: Call to undefined function attribute_escape() in /wp-admin/templates.php on line 114
Aspetto con ansia la versione 2.1 per gli sfracelli che provocherà.
Cavolo, mi hai fregato sul tempo, ero venuto sul tuo blog proprio per segnalarti la vulnerabilità! :-D
Io ho appena sostituito il vecchio file con quello preso qui: http://trac.wordpress.org/changeset/4665#file0 e tutto sembra funzionare.
Augurissimi di Buon Anno (visto che ci siamo quasi) a te e Serena. A presto! :-)
Paolo, io ho provato a sostituire il file ma mi dà errore, non so perché. Intanto me lo tengo così.
Se vai su Gestione / File non ti dà errore a te?
Auguri a Daniela ed a te di un buonissimo 2007.
P.S. Hanno aggiornato questo; meno MACcoso ma più pulito :) Provalo…
Cavolo, ho riprovato di nuovo e ora mi da errore, prima no.. evidentemente il browser aveva in cache la vecchia versione del file.
MI sa che mi tocca fare a manina anche a me :)
P.S. si l’avevo visto il tiger-administration ed ora mi sembra molto molto più pulito!
Ciaoooo!
Mi sono rivisto il codice, hai fatto benissimo tu ripristinando la vecchia funzione, tanto non era quella il problema, ma era quella dopo che hai, giustamente, sostituito. Pure io ho fatto così e funziona egregiamente!
A presto!
Grazie Paolo, non ero sicurissimo di aver risolto. Adesso sì :)
Ahaha si si, adesso sei proprio in una botte di ferro :D
Io non ci avevo fatto caso che la patch era “difettosa” (viva l’upload dei file del tema via FTP) e ora così mi funziona. Comunque per stare tranquillo, visto che ho un IP statico, io avevo già messo da un pezzo l’accesso all’admin area solo dal mio IP (viva .htaccess).
Io me ne sono accorto perché andando a vedere, nel mio file originale, la riga da sostituire l’ho trovata diversa da quella che dava sul sito come riga prima della patch. Quindi indagando ho visto che mi dava quell’errore in Gestione/File.