WordPress 2.8.6 Security Release-November 2009

WordPress versi 2.8.6 kembali di keluarkan setelah Benjamin Flesch, Menemukan Masalah pada security (XSS Vulnerability Attack) dan Dawid Golunski yang menemukan kode yang tidak sempurna (File name Upload exploit). ika saat Ini wordpress sampeyan Punya Author Yang tidak dipercaya :mrgreen; sebaiknya langsung di update deh.. Soalnya Tanpa Akses sebagai admin- siapapun yang login (Punya hak nge-post Artikel/Terlebih Mengupload File) maka dipastikan blog anda dalam keadaan berbahaya :twisted:

Exploit Ini hampir/mirip dengan null byte exploit..
coba-upload.php.jpg

Andaikan saja php dimasukkan:

<?php
        phpinfo();
?>

Lalu File(dalam bentuk gambar dieksekusi langsung melalui URL:

http://XX.com/wp-content/uploads/2009/11/coba-upload.php.jpg

Maka code php akan di eksekusi

Jika menggunakan code php seperti contoh diatas maka PHP info akan tampil

[*]Pencegahan Sementara

Enggak sempat Update? Ada cara simple, yaitu membuat .htaccess file di direktori (wordpress/wp-content/uploads)

deny from all
<Files ~ "^\w+\.(gif|jpe?g|png|avi)$">
        order deny,allow
        allow from all
</Files>

1 comment to WordPress 2.8.6 Security Release-November 2009

  • ran

    INFO: .htaccess file di direktori (wordpress/wp-content/uploads) hanya contoh- Jika wordpress blog berada di folder yg bernama wordpress

Leave a Reply

  

  

  

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>