English Users: read on Flatpress Forums.
Hey utenti di Flatpress, leggete qui perché è importante…
È facilissimo prendere il controllo del vostro blog.
A causa di un bug il controllo del login non fnziona.
Per farlo funzionare dovete modificare il file fp-includes/core/core.users.php
, da linea 77 alla 98, la funzione user_loggedin()
che deve diventare:
function user_loggedin(){ global $loggedin, $fp_user; if ($loggedin) return $fp_user; if ( empty($_COOKIE[USER_COOKIE]) || empty($_COOKIE[PASS_COOKIE]) ) { $fp_user = null; return $loggedin = false; } $fp_user = user_get($_COOKIE[USER_COOKIE]); if (!$fp_user) { return false; } if($_COOKIE[PASS_COOKIE] == $fp_user['password']) { $loggedin = true; return $fp_user; } $loggedin = false; return false; }
Non so se ho fatto bene a pubblicare qui la soluzione al bug… In pratica è descritto anche l’exploit…
Per fortuna dovete conoscere Flatpress, PHP più qualcos’altro per poter applicarlo a fin di male.
Ciò che mi preoccupa per voi sono, oltre ai post e alle statiche, le parti che potrebbero rendere inagibile il vostro sito: i plugin ma anche l’uploader: conoscendo dove vanno i file è facile creare una shell PHP…
Mi raccomando: correggete subito e spero NoWhereMan crei presto una nuova versione di FP.
Comunque anche se riusciste a trovare l’exploit io sono già al sicuro 😁