Core Security ein Sicherheitsdienstleister warnt derzeit vor Fehlern im aktuellen Wordpress-System, welches es Angreifern ermöglicht PlugIns zu verändern und deren Optionen zu ändern. Schuld an diesem Problem ist scheinbar die admin.php, welches die Zugriffsrechte von angemeldeten Usern nicht sauber prüft und so den Usern mehr Rechte zuteilt, als diese eigentlich besitzen sollten.
Zu diesem Fehler hat Coresecurity noch weitere kleinere Schwachstellen aufgedeckt, welche z.B. Cross-Site-Scripting ermöglichen. Ebenfalls soll das Anmeldemodul eine Schwachstelle aufweisen, durch welche es möglich ist, Rückschlüsse auf richtige Usernamen zu bekommen.
Betroffen sind laut Coresecurity die Wordpress Version 2.8 und Vorgängerversionen. MU in der Version 2.7.1 und Vorversionen sind ebenfalls betroffen.
Bei der Version 2.8.1 von Wordpress und MU sollen die Fehler behoben sein, welche es derzeit jedoch nur als Release Canidate gibt.
Habt ihr noch Fragen oder Anregungen? Dann schreibt in unser Forum!
Ähnliche Themen:
- Wordpress Sicherheitslücke – Version 2.8 abwärts
- Wordpress 2.8 Update verfügbar!!
- WordPress 2.8.X – Sicherheitslücke + Fix per Hand – Admin Passwort kann zurück gesetzt werden
- Wordpress 2.6.5 veröffentlicht! Version 2.6.4 ausgelassen!
- Update – WordPress 2.8.5 – soll mehr Sicherheit bieten
Loading ...
{ 1 trackback }
{ 2 comments… read them below or add one }
Noch ein Grund Wordpress über die wp_head nicht reinschreiben zu lassen, welche Version genutzt wird
Habe übrigens gerade gesehen, dass bei Dir 2.8.1 steht. Hast Du das tatsächlich bereits drauf oder die Angabe gefaked?
Ja, ich halte es ebenfalls für sinnvoll solche Informationen nicht preis zugeben.