Parece que la nueva versión de WordPress empieza a parecer un colador y se detectan pequeños descuidos que podrían comprometer nuestro blog.
Problema
El problema radica en el tratamiento del parametro que indica el año a la hora de filtrar y compromete directamente la función wp_title() mediante XSS.
http://www.yourdomain.com/?year=xss%3C/title%3E%3Cbody%20onmousemove=document.write(document.cookie);%3E%3C/body%3E
Solución
Editamos la función wp_title() del fichero wp-includes/general-template.php
Buscamos:if(!empty($year)){ $title = $year; }Reemplazamos:if(!empty($year)){ $year = (int)$year; $title = $year; }
Comments are closed.