Comments on: Who Sees Ads 1.0 Wordpress Plugin Released http://www.clazh.com/who-sees-ads-10-wordpress-plugin-released/ Tech & Design Thu, 24 Jul 2008 02:01:12 +0000 http://wordpress.org/?v=2.3.3 By: David Carrero Fdez-Baillo http://www.clazh.com/who-sees-ads-10-wordpress-plugin-released/#comment-4565 David Carrero Fdez-Baillo Mon, 27 Aug 2007 06:27:14 +0000 http://www.clazh.com/who-sees-ads-10-wordpress-plugin-released/#comment-4565 Please <a href="http://carrero.es/graves-problemas-de-seguridad-en-la-competicion-de-plugins-de-wordpress/1033" rel="nofollow">check the security for this plugins</a>. Por favor <a href="http://carrero.es/graves-problemas-de-seguridad-en-la-competicion-de-plugins-de-wordpress/1033" rel="nofollow">revisar la seguridad de los plugins</a>. 1. WordPress Automatic Upgrade: Permite a cualquier usuario no autenticado: * Generar y descargar los archivos de WordPress (incluye wp-config.php). * Generar y descargar una copia de seguridad de la base de datos donde está instalado el plugin. * Activar/Desactivar todos los plugins. * Actualizar la versión de WordPress. 2. OneClick: Al ser vulnerable a CSRF, permite descargar plugins — o código malicioso — desde cualquier URL. 3. Who Sees Ads: Es vulnerable a CSRF y XSS. 4. MyDashboard: Es vulnerable a CSRF y XSS. Please check the security for this plugins.
Por favor revisar la seguridad de los plugins.

1. WordPress Automatic Upgrade: Permite a cualquier usuario no autenticado:
* Generar y descargar los archivos de WordPress (incluye wp-config.php).
* Generar y descargar una copia de seguridad de la base de datos donde está instalado el plugin.
* Activar/Desactivar todos los plugins.
* Actualizar la versión de WordPress.
2. OneClick: Al ser vulnerable a CSRF, permite descargar plugins — o código malicioso — desde cualquier URL.
3. Who Sees Ads: Es vulnerable a CSRF y XSS.
4. MyDashboard: Es vulnerable a CSRF y XSS.

]]>