A falha foi encontrada nas bibliotecas XML-RPC para PHP e PEAR XML_RPC, em uma auditoria conduzida pelo projeto Hardened-PHP.

O grupo afirma que a brecha pode ser explorada da mesma forma que outras vulnerabilidades anteriormente reveladas, particularmente com as instruções eval() .

"Para se livrar dessa e de outras falhas envolvendo o eval(), o projeto Hardened-PHP e os mantenedores dessas bibliotecas desenvolveram uma correção que elimina completamente o uso da instrução", comunicou o Hardened-PHP em um alerta em sua página.

RPCs (Remote Procedure Call) baseados em linguagem XML, como o XML-RPC, são utilizados em conjunto com o protocolo HTTP para reforçar serviços web. Tanto o XML-RPC para PHP (também chamado de PHPXMLRPC) e o PEAR XML_RPC implementam o XML-RPC para a linguagem PHP.

A falha afeta diversas aplicações web, como blogs, páginas wiki (nas quais o internauta pode editar o conteúdo) e outros gerenciadores de conteúdo baseados na linguagem PHP. As bibliotecas PHPXMLRPC e PEAR XML_RPC são utilizadas nas aplicações PostNuke, Drupal, b2evolution e TikiWiki.

Para resolver o problema, basta atualizar a biblioteca PEAR XML_RPC para a versão 1.4.0 (clique aqui para baixar) ou para a versão 1.2 da PHPXMLRPC (clique aqui).

Matthew Broersma ? Techworld, Reino Unido