Tag: 0day

WordPress 2.3-4.8.2 – Host Header Injection in Password Reset – FIXED

WordPress 2.3-4.8.2 – Host Header Injection in Password Reset – FIXED

Ho fixato ed inviato personalmente il FIX per la vulnerabilità nota come CVE-2017-8295, che permette il reset della password dell’amministratore di un sito WordPress. Ho abbassato il livello di pubblicità del sito (ho tolto i popup) e continuerò ad abbassarli nella speranza che ci siano nuove donazioni per il lavoro che stiamo facendo. Ho inviato […]

Continue Reading

WordPress 4.7.4 wp-comments-post.php $comment Persistent XSS – FIXED

Vi ricordate quando vi parlai di una vulnerabilità 0day che non volevo rivelare in pubblico per via della sua pericolosità e la segnalai alla mail security@wordpress.org ? Mi riferisco a questo articolo: http://www.freenixsecurity.net/it/2017/04/22/0day-in-wordpress-4-7-4-e-versioni-precedenti/ Bene ho trovato il fix, ma va applicato a mano. E’ una Persistent XSS (Cross Site Scripting) nei commenti degli articoli e […]

Continue Reading