Commentaires sur : Grosse faille non patchée dans Wordpress ! Amis bloggers, voici l’astuce pour éviter le drame…

Par : 6 techniques pour éviter de se faire pirater un blog sous Wordpress | Korben

Sun, 27 Jul 2008 17:26:42 +0000

[...] là rien de nouveau sauf que la méthode n’utilise pas une quelconque faille qui sera patchée lors d’une prochaine release de Wordpress mais tout simplement le système classique [...]

Par : Adrien Soissons, militant pour la transformation sociale » Aux lecteurs attentifs

Tue, 29 Jan 2008 04:09:55 +0000

[...] Wordpress a ses failles, surtout sous Free.fr. La faille vient d’un commentaire posté sur le blog et qui tente de [...]

Par : Hot Links for 12/12/07 | Nowhere Else 2.0

Hot Links for 12/12/07 | Nowhere Else 2.0 — Wed, 12 Dec 2007 00:52:14 +0000

[...] Grosse faille non patchée dans Wordpress ! Amis bloggers, voici l�??astuce pour éviter le drame�?� (Korben) [...]

Par : Olivier

Olivier — Tue, 11 Dec 2007 10:17:54 +0000

Merci pour l’info, j’étais concerné.
Est-ce que l’on aurait pas meilleur temps de gérer dans le le .htaccess ? (au passage si quelqu’un sait faire la transposition en RedirectPermanent je suis preneur).

Par : Julien

Julien — Tue, 11 Dec 2007 09:21:01 +0000

Merci pour l’info, apparemment je ne suis pas touché (pour une fois ).
C’est le genre d’infos à prendre en considération. Il y a quelques temps je pensais être tranquille avec mes petits sites peu connus et pour finir…j’ai quand même eu le droit à du phishing etc… ah lala c’est la guerre sur le net

Par : Jay

Jay — Tue, 11 Dec 2007 08:42:40 +0000

Moi j’ai rien patché et j’arrive sur ça: Commentaires sur : Schaudi are back!
Vous affichez un flux RSS qui contient un contenu fréquemment mis à jour.
C’est bon signe docteur?

Par : Ghusse

Ghusse — Tue, 11 Dec 2007 07:02:17 +0000

Effectivement, je passe par là de temps en temps.

Ton info est intéressante ptit-seb !

Par : GaKaTaN

GaKaTaN — Mon, 10 Dec 2007 23:11:37 +0000

Grand merci pour l’info !

Mon blog était touché comme la plupart que j’ai testé d’ailleurs !

POur info, ton url de test est bizarre car la tienne me donnait pas d’erreur alors que l’url fficielle de test ( http://localhost/path_to_wordpress/?feed=rss2&p=1 ) m’affichait bien l’erreur.

Par : admin

admin — Mon, 10 Dec 2007 22:55:46 +0000

Merci pour le complement d’info Pti-Seb.
Apparement comme ils n’ont pas trouvé de POC qui fasse mal, ils ont déclaré cette faille en tant qu’ »information disclosure »

Donc effectivement, c’est moins dangereux du coup, même si ça peut donner des infos sur les versions de logiciels que vous utilisez ou votre hebergement

Par : Pti-seb

Pti-seb — Mon, 10 Dec 2007 22:44:07 +0000

Wordpress 2.3.1 converts the ‘p’ parameter to an integer.
query.php line 449:
$qv['p'] = (int) $qv['p'];

So there is no exploit possibility.

En gros c’est pas vraiment une faille si je comprends bien.