Vulnerabilidade descoberta no WordPress

Foi descoberto um grave erro no arquivo wp-trackback.php que permite derrubar nosso servidor em menos de 5 minutos e pode deixar o WordPress consumindo recursos do servidor indefinidamente.

Para descobrir como corrigir tal erro e ler mais informações a respeito, clique aqui.

Esperamos que tal erro seja prontamente corrigido na versão 2.9. Até o presente momento, a versão beta disponibilizada para os wp-testers (Beta Testers do WP, no qual me incluo) não possui tal correção.

Update: o Site BrPoint mostra outra forma de evitar tal problema. Para tal basta incluir a função abaixo no functions.php

function ft_stop_trackback_dos_attacks(){
global $pagenow;
if ( ‘wp-trackback.php’ == $pagenow ){
// DoS attack fix.
if ( isset($_POST[‘charset’]) ){
$charset = $_POST[‘charset’];
if ( strlen($charset)> 50 ) {  die; }
}
}
}
add_action(‘init’,’ft_stop_trackback_dos_attacks’);

6 Comments

  1. Já cadastrou o ticket de erro lá no site do WordPress? Eles só vão corrigir se souberem que o erro existe.

    :)

  2. Já tem ticket aberto e a solução vai entrar na versão 2.8.5.

    Abraço

  3. Se eu mudar essa linha no wp-trackback.php:

    52. if ($charset)
    53. //$charset = strtoupper( trim($charset) );

    Para essa:
    52. if ($charset)
    53. $charset = str_replace( array(‘,’, ‘ ‘), ”, strtoupper( trim($charset) ) );

    Já resolve?

    Peguei isso no changeset (http://core.trac.wordpress.org/changeset/12057)

    Abraço!

    • Oi Guilherme,

      Ao que tudo indica, esta foi a solução mais simples encontrada pela equipe de desenvolvedores do WordPress. Provavelmente dentro das 24hrs será liberada a versão 2.8.5 para corrigir este erro e mais alguns outros bugs menores..

      Abraços

Deixe uma resposta