Acabo de enterarme que los Blogs alojados en WordPress.com son vulnerables a dos tipos de ataques XSS (Cross-Site Scripting). Es importante decir que solo son vulnerables los sitios alojados en WordPres.com no los portales que hagan uso del sistema WordPress en su propio hosting.
Una prueba de concepto fue publicada y existe el peligro de que un Gusano pueda utilizar este tipo de vulnerabilidad para comprometer miles de blogs alojados en WordPress.com. (Ver debate de los desarrolladores en este post).
En hackerscenter.com se a publicado el full disclosure y un Video demostrativo de la vulnerabilidad, de nuevo repito que las instalaciones de WordPress descargadas de www.WordPress.ORG no son vulnerables ya que no cuentan con los archivos invite.php o users.php.

CLICK EN LA IMAGEN PARA VER VIDEO
FUENTE
Gracias por leer este post.Ahora puede
dejar su Comentario (0) o
enlazarnos.
Leer más
Post Relacionados:
Related Post
- Exploit activo para vulnerabilidad MS08-021 (GDI)
- Circula exploit para vulnerabilidad en Office
- Fallo en Windows Vista impide que se desactive la autoejecución en la forma descrita por Microsoft
- La historia del ataque a 2,5 millones de blogs
- Google detiene el uso de “Goolag Scanner”
- Primer exploit activo para últimos parches de Microsoft
- Vulnerabilidad en Adobe Reader descarga troyano
- MySpace, Yahoo! Music y otros, usan ActiveX vulnerables
- Mejoran exploit que afecta al kernel de Windows
- Exploit para primera vulnerabilidad de Windows en 2008
- Los juegos online, una puerta al malware
- Apple QuickTime 7.4 corrige cuatro vulnerabilidades
- Un nuevo troyano en Estados Unidos infecta 10.000 ordenadores
- Exploit 0-Day ataca a usuarios de RealPlayer
- Vulnerabilidad en Word utilizada en recientes ataques
- Gmail presenta un grave “agujero de privacidad”
- Yahoo! corrige grave vulnerabilidad en su correo
- Internet Explorer no restringe el acceso a marcos
- Actualización de seguridad para Adobe Reader 8.1.2
- Demostración de vulnerabilidad no corregida en Word
- Apple publica Safari 3.1.2 que soluciona vulnerabilidad
- Microsoft admite que parche crítico para Bluetooth en XP no funciona
- Virus o marketing viral
- Vulnerabilidad crítica en Firefox 3.0
- Revelan detalles de una vulnerabilidad no solucionada
- Nuevo ataque de malware a WordPress
- El SP3 de XP mantiene una vulnerabilidad de Flash Player
- Ataque combinado, no solo Safari es culpable
- Las inyecciones de códigos maliciosos en las webs se hacen cada vez más comunes
- Nueva vulnerabilidad en Flash amenaza Internet
- Corte estadounidense quita varios ceros a la multa de News Corp.
- Vulnerabilidad en PayPal, desacredita certificados EV
- Un hacker español suelto en Buenos Aires
- Thunderbird 2.0.0.14 corrige dos vulnerabilidades
- Microsoft niega responsabilidades en ataques masivos
- El spam y la Ingeniería Social
- Spammers toman por asalto los blogs de Google Blogger
- Exploit Zero Day para QuickTime en Windows XP y Vista
- Panda Security recomienda a los webmasters comprobar la integridad de sus páginas web, debido a un ataque hacker masivo
- Sitios populares con código malicioso, el gran problema
- Servidor y cliente “colaboran” para infectar al usuario
- Microsoft anuncia escalada de privilegios en Windows
- Blogs de WordPress en peligro
- El CAPTCHA de Microsoft Live/Hotmail crackeado en 6 segundos
- Aconsejan como detener los Botnets
- Flash Player 9.0.124.0 corrige grave vulnerabilidad
- Los “spammers” asaltan el correo gratuito
- Internet tiene agujeros negros por donde desaparece información
- El fin de la inocencia de la inseguridad informática
- Vishing y SMiShing: Mutaciones fraudulentas
- Denunciar casos de phishing
- ¿Aceptar todo lo que nos regalan en la red es seguro?
- Se detecta una nueva vulnerabilidad en Word
- Los sitios demasiado populares también son peligrosos
- Respuesta de UNICEF a ESET
- Propagación de malware a través de importantes foros (y II)
- Error en RealPlayer utilizado para descargar malware
- Antivirus falsos
- Múltiples vulnerabilidades en Sun Java
- PandaLabs descubre una nueva vulnerabilidad en Access que está siendo utilizada para infectar ordenadores
- Vulnerabilidad en el proceso de mensajes de ICQ
- Otra cajita de herramientas maliciosas
- Routers domésticos se convierten en objetivo criminal
- Vulnerabilidad en VMware afecta a equipos bajo Windows
- Se buscan traductores de malware
- Urgente, reenvialo
- Spammers rusos vulneran protección de Gmail
- Firefox y Opera, vulnerables a fuga de información
- Nueva amenaza en el MSN
- Adobe corrige 26 vulnerabilidades en Adobe Reader 8.1.2
- Mozilla eleva nivel de alerta para fallo en Firefox
- Dos nuevos gusanos utilizan San Valentín como cebo para propagarse
- Ejecución remota de código en BitTorrent y uTorrent
- Vulnerabilidad en protocolo Chrome de Firefox
- El 80 de los sitios maliciosos son legítimos
- Configurando ESET NOD32 Antivirus en MSN
- Rootkit del sector de arranque, más ruido que peligro
- 500.000 nuevos ordenadores son infectados con bots cada día.
- Microsoft informa de un agujero de seguridad en Excel
- Dispositivos UPnP en riesgo de ataques
- Extraña infección masiva causa gran cantidad de tráfico
- Banda ancha es autopista de piratas
- Archivos GIF malformados bloquean a Mozilla Firefox
- Nueva vulnerabilidad en QuickTime y el protocolo RTSP
- Múltiples vulnerabilidades en Clam AntiVirus
- Error de QuickTime explotado activamente en Internet
- Usuarios de QuickTime en peligro por exploit Zero-day
- Parche para Zero-Day de RealPlayer (ActiveX)
- Posible vector de ataque vía IE y Acrobat Reader
- Microsoft reconoce que la vulnerabilidad de las URIs “en parte” es cual suya… por fin
- Vulnerabilidad en IE al enviar archivos a Internet
- Mozilla Firefox: Vulnerabilidad en filtrado de URIs
- Vulnerabilidad relacionada con complementos de Firefox
- Nueva vulnerabilidad 0day en Firefox
- Detalles y evolución de la vulnerabilidad RPC/DNS de Microsoft Windows
- Encuentran vulnerabilidades de carácter crítico en Google Desktop