Vulnerabilità di Unrestricted File Upload Arbitrary PHP Code Execution in WordPress

wp-logo-gray

Nella giornata di ieri presso Full Disclosure è comparso un interessante advisory riguardante una vulnerabilità presente in WordPress nelle versioni <= 2.8.5 ( l'attuale ). Questa vulnerabilità infatti acconsentirebbe l'esecuzione di codice php arbitrario uploadato tramite l'upload manager di default presente in WordPress. Per maggiori informazioni e un proof of concept vi rimandiamo all'advisory. Anche se la vulnerabilità non è critica, in quando per uploadare un file è comunque necessario avere dei diritti superiori a quelli di un utente normale, attendiamo una security release da parte del team di sviluppatori.