Reporta Manuel Almeida que se ha publicado una alerta de seguridad que afecta a WordPress 2.0 y 2.0.1, esta es definida como crítica, son dos fallas y la incidencia se da en varios archivos.

Parche para el error en XSS

Sustituir las líneas 21-24 de ‘wp-comments-post.php’ por:

$comment_author = htmlentities(trim($_POST[’author’])); $comment_author_email = htmlentities(trim($_POST[’email’])); $comment_author_url = htmlentities(trim($_POST[’url’])); $comment_content = htmlentities(trim($_POST[’comment’]));

Parche para el Full path disclosure:

Añadir al principio de cada archivo afectado la siguiente línea:

if (eregi(’name_of_the_file.php’, $_SERVER[’PHP_SELF’])) die(’You are not allowed to see this page directly’);

La lista de cada uno de los archivos afectados pueden ser revisados en el post de Mangas Verdes. Ahora hay que ver cuánto tarda en responder WordPress con una versión actualizada y segura.