Piero V.

Gravissimo bug su Flatpress

English Users: read on Flatpress Forums.

Hey utenti di Flatpress, leggete qui perché è importante…

È facilissimo prendere il controllo del vostro blog.

A causa di un bug il controllo del login non fnziona.

Per farlo funzionare dovete modificare il file fp-includes/core/core.users.php, da linea 77 alla 98, la funzione user_loggedin() che deve diventare:

function user_loggedin(){

		global $loggedin, $fp_user;

		if ($loggedin)
			return $fp_user;

		if ( empty($_COOKIE[USER_COOKIE]) || empty($_COOKIE[PASS_COOKIE]) ) {
			$fp_user = null;
			return $loggedin = false;
		}

		$fp_user = user_get($_COOKIE[USER_COOKIE]);

		if (!$fp_user) {
			return false;
		}

		if($_COOKIE[PASS_COOKIE] == $fp_user['password']) {
			$loggedin = true;
			return $fp_user;
		}

		$loggedin = false;
		return false;

	}

Non so se ho fatto bene a pubblicare qui la soluzione al bug… In pratica è descritto anche l’exploit…

Per fortuna dovete conoscere Flatpress, PHP più qualcos’altro per poter applicarlo a fin di male.

Ciò che mi preoccupa per voi sono, oltre ai post e alle statiche, le parti che potrebbero rendere inagibile il vostro sito: i plugin ma anche l’uploader: conoscendo dove vanno i file è facile creare una shell PHP…

Mi raccomando: correggete subito e spero NoWhereMan crei presto una nuova versione di FP.

Comunque anche se riusciste a trovare l’exploit io sono già al sicuro 😁

Plugin Anti Brute Force (v1.0) [Flatpress]

Ho scritto un plugin per flatpress per bloccare gli attacchi di brute force.

Viene automaticamente chiamato alla pagina di login, ma sappiate che è utile anche per il mio plugin di backup, basta che nel vostro file di autenticazione richiamate la classe antibruteforce_plugin ma potete vedere nel codice, altrimenti se siete interessati potete chiedere spiegazioni e le metto qui.

Per default blocca il login dopo 5 tentativi per 1 ora (3600 secondi).

Potete impostarlo modificando le due costanti in cima al file.

ATTENZIONE: non garantisco niente per la sicurezza del vostro blog, perciò vi consiglio di fare altri test.

Se dovesse succedere che non riuscite più a fare il login, eliminate i cookie dal vostro sito (o andate in modalità anonima del browser) e eliminate il file fp-content/%%anti_bruteforce.txt con l’accesso FTP. Poi andate nel pannello di amministrazione e disabilitate il plugin. Quindi venite qui e lasciatemi un commento.

Licenza: GNU GPL v2.0

Download: antibruteforce_v1.0.tar.gz