CSIRT Panam\u00e1 Aviso – WordPress 4.4 y PHP 7.0 afectados por un fallo de seguridad 0-day.
\nGravedad: Media
\nFecha de publicaci\u00f3n: Diciembre 28, 2015
\nFecha de modificaci\u00f3n: Diciembre 28, 2015
\n\u00daltima revisi\u00f3n: Revisi\u00f3n A.
\nFuente: CSIRT Panam\u00e1<\/p>\n
Sistemas afectados<\/p>\n
I. Descripci\u00f3n<\/p>\n
Se ha anunciado una vulnerabilidad 0-day para la plataforma de WordPress 4.4 y PHP 7.0, que permite al atacante obtener las rutas absolutas de todos los ficheros. Y puede llevar a cabo otros ataques como el uso de load_file() en un SQL Injection, donde se necesita la ruta absoluta para poder obtener el c\u00f3digo fuente de una p\u00e1gina web. Por parte de PHP 7.0, el fallo de seguridad es del tipo Format String Attack, un fallo que hace que el servidor considere el valor de un string como un comando, de manera que se puedan llevar a cabo ataques de ejecuci\u00f3n de c\u00f3digo remoto o un fallo de segmentaci\u00f3n, entre otros tipos\u00a0de ataques.<\/p>\n
II. Impacto<\/p>\n
Puede permitir a un atacante obtener la ruta absoluta de todos los ficheros de la web en cuesti\u00f3n.
\nEjecuci\u00f3n de c\u00f3digo remoto.<\/p>\n
III. Mitigaci\u00f3n<\/p>\n
Por el momento, esta vulnerabilidad a\u00fan no ha sido solucionada, solo quedara esperara que los responsables de las plataformas, hagan los correctivos necesarios y generen los parches que solucionaran la vulnerabilidad de 0-day.<\/p>\n
IV. Informaci\u00f3n adicional<\/p>\n
V. \u00a0Informaci\u00f3n adicional<\/p>\n
CSIRT PANAMA
\nComputer Security Incident Response Team Autoridad Nacional para la
\nInnovacion Gubernamental
\nE-Mail: info@cert.pa
\nPhone: +507 520-CERT (2378)
\nWeb: http:\/\/www.cert.pa
\nTwitter: @CSIRTPanama
\nFacebook: http:\/\/www.facebook.com\/CSIRTPanama
\nKey ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"
CSIRT Panam\u00e1 Aviso – WordPress 4.4 y PHP 7.0 afectados por un fallo de seguridad 0-day. Gravedad: Media Fecha de publicaci\u00f3n: Diciembre 28, 2015 Fecha de modificaci\u00f3n: Diciembre 28, 2015 \u00daltima revisi\u00f3n: Revisi\u00f3n A. Fuente:…<\/p>\n","protected":false},"author":4,"featured_media":568,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[14],"class_list":["post-567","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-wordpress"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/567","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=567"}],"version-history":[{"count":3,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/567\/revisions"}],"predecessor-version":[{"id":571,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/567\/revisions\/571"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/568"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=567"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=567"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=567"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}