(Por El Microsaurio) La cosa parecía grave. Los austríacos se pusieron serios, la gente de WordPress se puso las pilas, la actualización salió con fritas, y los nubarrones se disiparon. Ahora enterate de qué estaba en riesgo. Instalar la nueva versión y a respirar tranquilo, por ahora…

Noche del día 29 de junio, todo tranqui, hasta que llega un email de la gente deWordPress: está lista para descargar la Versión 3.1.4 del programa. todo bien, pero… hace poco que salió la 3.1.3 (el 25 de mayo); ¿por qué este apuro?
A ver si esta frase de Ryan Boren, líder de desarrollo en WordPress, te resulta clara: “…esta entrega es de mantenimiento y de seguridad; soluciona un problema que podría permitir a un usuario malintencionado, con permisos de Editor, que obtuviera acceso a otros lugares del website…”
Bastante grave. Así que busqué más detalles, ya que muy correctamente Boren mencionó en esta página a un especialista que desde la empresa austriaca de seguridad informática SEC Consult le avisó sobre el mentado problema. Y lo que publicó originalmente don K. Gudinavicius era más claro: “debido a insuficiente validación de entradas en Ciertas Funciones de WordPress (…) un usuario que tenga permisos de Editor puede inyectar comandos SQL arbitrarios y obtener acceso a todos los registros de la base de datos, como si fuese el propietario legítimo de la Base de Datos WordPress.”
Muy desagradable… y más claro, echale agua. Otra vez (y van…) que al código de WordPress se le señalan fallas de ese tipo: no revisar qué caracteres se están escribiendo en una ventanita de ingreso de datos.
De paso y ya que estábamos por ahí, pudimos notar, en la base de datos de bugs de WordPress, que se habían modificado, también para solucionar vulnerabilidades de seguridad, las configuraciones de los archivos WPLANG, que se emplean para instalar un idioma diferente del inglés en el servidor donde WordPress esté trabajando. De más está decirte, entonces, que tu wordpressblog en castellano tiene que actualizarse con el nuevo software.
Quedás avisado. Bajate el software, revisá todo veinte veces, actualizá y… ajo y agua, ya que (ojito!!!) ya se han publicado en Internet los detalles de código necesarios para entrar sin permiso…

Por Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.