Criado Indomable

Un intento de Blog de Sebastián D. Criado – 09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0

Posts Tagged ‘wordpress’

WordPress bug: Remote admin reset password

Posted by Sebastián Criado en Martes, agosto 11, 2009 15:03

Se ha descubierto una vulnerabilidad en WordPress que permitiría saltar la confirmación de usuario administrador y mail para hacer el reset de la password del mismo. Por el momento no hay parche oficial y compromete a todas las versiones de WordPress del branche 2.8 (no se ha probado en el branche 2.7).

Esta vulnerabilidad que podría parecer trivial y de poca importancia no es tan así dado que un atacante que tenga la posibilidad de ponerse en medio de la comunicación de envío de mail podría obligar a enviar el reset de la password y hacerse con la misma para luego cambiarla y quitar el acceso al verdadero admin. Así también sería trivial realizar un ataque automatizado a hostings que tienen muchas cuentas de WordPress.

Aunque no existe un parche oficial al momento de publicar esta nota, se ha subido un cambio a los repositorios de WordPress que solucionaría el error. Se recomienda su aplicación.

Para más información del bug y la solución, puede verse el blog de AltoSec. En nuestros laboratorios hemos podido duplicar el bug y comprobar que  los cambios subidos al repositorio solucionan el problema.

Actualización: Como se esperaba, el equipo de desarrollo de WordPress ha sacado ya su parche oficial para solucionar este bug. Pueden ver el anuncio oficial en WordPress 2.8.4: Security Release.
Recomendamos la actualización con este Security Release tanto si se hizo el cambio mencionado en el articulo como si no se ha hecho.

Posted in Seguridad, Software Libre | Etiquetado: , , | 1 Comment »

Usando ScribeFire

Posted by Sebastián Criado en Sábado, mayo 23, 2009 20:31

En el día de hoy y gracias al articulo públicado El magnifico, me dispuse a investigar un poco el funcionamiento de un plugin para Firefox llamado ScribeFire el cual permite actualizar el blog directamente desde el navegador y sin necesidad de tener que entrar al mismo.

Existen algunas cosas que me han gustado mucho como la posibilidad de traer datos de  Categorías desde el propio blog (aunque las trae como Tags lo cual a mi entender no es correcto ya que los tags también existen) y están para ser agregados mediante un cuadro de texto debajo de la lista de categorías que se muestran.
Otra de las cosas que me gusto fue su pantalla dividida y la posibilidad de fácilmente cambiar la fuente y el tamaño de la misma.

Se puede encontrar una característica muy interesante y que tendré que ver de explotar y es la de los artículos relacionados gracias a Zemanta, que permite a partir de las palabras escritas en el post, encontrar articulos relaconados. Por ejemplo:

Lo que no me gusto es que no trae las imágenes del repositorio propio del Blog con lo cual hay que meterse nuevamente en el blog para ver la URL o bien tener que subirla nuevamente.
Veremos como se comporta en mis ediciones periodicas. 😀

Posted in Software Libre, Webadas | Etiquetado: , , , | Leave a Comment »

AltoSec Blog abre sus puertas

Posted by Sebastián Criado en Martes, abril 7, 2009 16:07

altosec_blog_tiny2En el día de la fecha hemos puesto oficialmente on-line el blog de AltoSec donde pondremos a disposición del público novedades sobre el ámbito de la seguridad de la información, novedades propias de la empresa y notas originales de sus miembros.

La URL del blog es http://blog.altosec.com.ar y está montado utilizando WordPress

Aunque podríamos usar directamente los blogs personales de cada uno, consideramos importante poder concentrar en el un único lugar información que se produce en la empresa. No el blog de Google, pero brindamos algo de lo nuestro 😀

Enjoy!

Posted in GNU/Linux, Seguridad, Software Libre | Etiquetado: , , , , | 1 Comment »