WP Comment Remix, el plugin que ganó el concurso de plugins de WLTC, parece que contiene código que supone un riesgo de seguridad, todo ello de acuerdo al boletín de seguridad de CHXsecurity.
Las vulnerabilidades de este plugin son las siguientes:
- SQL Injection: provocada por una variable en “p” en el fichero ajax_comments.php
- Cross Site Scripting: Afecta tanto a usuarios registrados como no registrados
- Cross Site Request Forgery: el formulario generado en wpcr_do_options_page carece de la función de seguridad de WordPress wp_nonce
Si lo sueles usar te recomiendo otro plugin con funciones muy similares: Ozh Absolute Comments, o esperar a las funcionalidades de contestar a comentarios de WordPress 2.7.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
Pingback: Bitacoras.com
Si, el riesgo existe por que se liberaron pruebas de concepto al mismo tiempo que se publico el advisory…