Se ha publicado una vulnerabilidad que afecta a WordPress y que podría permitir que un atacante remoto llevara a cabo una denegación de servicio.

WordPress es un sistema de gestión de contenidos (CMS) de código libre muy utilizado para crear blogs y páginas web que se actualizan con frecuencia. Actualmente se encuentra en la versión 3.3.1.

Autor: Juan José Ruiz || Fuente: http://unaaldia.hispasec.com/2012/04/denegacion-de-servicio-en-wordpress.html

El usuario MustLive ha encontrado una vulnerabilidad de abuso de funcionalidad (AoF) en WordPress. Es abuso de funcionalidad es una técnica de ataque en el que se utilizan las propias funcionalidades de un sitio para atacarlo. Un atacante remoto podría causar una denegación de servicio mediante un ataque de este tipo.

La vulnerabilidad se encuentra en las funcionalidades ‘Reparar la base de datos’ y ‘Reparar y optimizar la base de datos’ (‘Repair Database’ y ‘Repair and Optimize Database’) en ‘wp-admin/maint/repair.php’. Enviando múltiples peticiones de a este script se consigue aumentar el consumo de recursos, pudiendo causar una denegación de servicio que afectara a todo el servidor:

http://SITIO_WEB/wp-admin/maint/repair.php?repair=1&_wpnonce=a4ca36d5ff
http://SITIO_WEB/wp-admin/maint/repair.php?repair=2&_wpnonce=a4ca36d5ff

Para que la vulnerabilidad pueda ser explotada es necesario que la opción ‘WP_ALLOW_REPAIR’ esté habilitada en el archivo de configuración ‘wp-config.php’.

Aún no tiene asignado ningún identificador CVE. Son vulnerables las versiones de WordPress desde la 2.9 a la 3.3.1.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/04/denegacion-de-servicio-en-wordpress.html

Más información:

DoS vulnerability in WordPress
http://seclists.org/fulldisclosure/2012/Apr/168

DoS vulnerability in WordPress
http://websecurity.com.ua/5774/

Juan José Ruiz
[email protected]

matiasmascaDesarrolloSeguridadSoftware LibreSe ha publicado una vulnerabilidad que afecta a WordPress y que podría permitir que un atacante remoto llevara a cabo una denegación de servicio. WordPress es un sistema de gestión de contenidos (CMS) de código libre muy utilizado para crear blogs y páginas web que se actualizan con frecuencia. Actualmente...comunidad virtual para compartir y difundir: información, conocimiento y experiencias relacionadas con las Tecnologías de la Información y la Comunicación.