Antes de empezar, que quede claro que yo soy usuario de este administrador de blogs, lo usamos en todos los weblogs de Hipertextual y es uno de los aspectos más importantes de lo que hacemos, pero eso no tiene que impedir que podamos hacer una crítica a la manera en que se está reaccionando a problemas.
La próxima semana aparecerá la 2.0.2 que corrige un error de seguridad y algunos otros no relacionados con la vulnerabilidad de este sistema, pero no corregirá la vulnerabilidad sobre la que publicamos días atrás. ¿Por qué? la gente de Neo Security Team se puso a investigar del tema y esta es la mejor explicación que encontraron:
… these bugs are caused by badly configured .ini file, it’s not a bug generated by the script so it cannot be accepted as a bug of WordPress…
Algo parecido (pero con mayores detalles técnicos) explica Gustavo Barrón en Idealabs.
Ahora, yo considero que si está en tu poder corregir un problema aunque no sea 100% tu culpa, tienes que hacerlo, y siento que si no lo hacen, los desarrolladores de WordPress están demostrando un poco de soberbia. Las implicaciones técnicas no las conozco del todo, no se si al corregir el bug en cuestión adquieren nuevos problemas. Veremos como se desarrolla el tema.
Actualización: Nos explica Gustavo vía IM que no es un bug si no una falla intencionada:
es mas bien un 'intended behavior'. Sólo los admin pueden insertar codigo en JS, es decir no pasa por el filtro limpieza... pero solo el admin... puede colocar, alguna pieza como un código de un tracker, o por ejemplo, ¿qué tal colocar tu correo electronico cifrado por JS?.
ese pseudo 'xploit' solo funciona siendo admin... por que te permite meter JS... asi que esta todo en regla...lo divertido comienza, cuando para poder insertar ese codigo, tienes que ser primero admin, y si eres admin, para que diablos necesitas, colocarcarte un exploit?