WordPress 3.0.2, possibilità di installazione WebShell

Lo scorso 8 dicembre è stato rilasciato WordPress 3.0.3:

WordPress 3.0.3 is available and is a security update for all previous WordPress versions.

This release fixes issues in the remote publishing interface, which under certain circumstances allowed Author- and Contributor-level users to improperly edit, publish, or delete posts.

These issues only affect sites that have remote publishing enabled.

Remote publishing is disabled by default, but you may have enabled it to use a remote publishing client such as one of the WordPress mobile apps. You can check these settings on the “Settings → Writing” screen.

Download 3.0.3 or update automatically from the “Dashboard → Updates” screen in your site’s admin area.

e –a poco tempo di distanza– rilasciato l’exploit che permette di sfruttare il buco che era stato lasciato aperto nella 3.0.2, la possibilità di installare una shell web sulla macchina che ospita l’installazione, attraverso la quale sarà possibile operare dalla macchina con permessi non precedentemente concessi:

rudolfmaduro.com/2010/10/30/wordpress-xmlrpc-php-flaw-exploited-to-install-a-wso-2-1-web-shell-by-orb

Nonostante il problema sia stato corretto e non si corre più alcun pericolo, nelle installazioni da me controllate è stata completamente disattivata la funzionalità di pubblicazione da remoto. Per poterla riabilitare si potrà agire in autonomia riabilitandola da Admin / Settings / Writing o chiedendolo al sottoscritto tramite mail.