Core Security ein Sicherheitsdienstleister warnt derzeit vor Fehlern im aktuellen WordPress-System, welches es Angreifern ermöglicht PlugIns zu verändern und deren Optionen zu ändern. Schuld an diesem Problem ist scheinbar die admin.php, welches die Zugriffsrechte von angemeldeten Usern nicht sauber prüft und so den Usern mehr Rechte zuteilt, als diese eigentlich besitzen sollten.
Zu diesem Fehler hat Coresecurity noch weitere kleinere Schwachstellen aufgedeckt, welche z.B. Cross-Site-Scripting ermöglichen. Ebenfalls soll das Anmeldemodul eine Schwachstelle aufweisen, durch welche es möglich ist, Rückschlüsse auf richtige Usernamen zu bekommen.
Betroffen sind laut Coresecurity die WordPress Version 2.8 und Vorgängerversionen. MU in der Version 2.7.1 und Vorversionen sind ebenfalls betroffen.
Bei der Version 2.8.1 von WordPress und MU sollen die Fehler behoben sein, welche es derzeit jedoch nur als Release Canidate gibt.
Noch Fragen offen? Oder IT Fragen zu einem anderen Bereich? Dann stellt Eure Frage hier: IT – Forum
Oder in unserem WEB 2.0 Frage Portal: Frag einen ITler
Ähnliche Themen:
- WordPress Sicherheitslücke – Version 2.8 abwärts
- WordPress 2.8 Update verfügbar!!
- WordPress 2.8.X – Sicherheitslücke + Fix per Hand – Admin Passwort kann zurück gesetzt werden
- Update – WordPress 2.8.5 – soll mehr Sicherheit bieten
- WordPress 2.6.5 veröffentlicht! Version 2.6.4 ausgelassen!
Loading ...
{ 2 comments… read them below or add one }
Noch ein Grund Wordpress über die wp_head nicht reinschreiben zu lassen, welche Version genutzt wird
Habe übrigens gerade gesehen, dass bei Dir 2.8.1 steht. Hast Du das tatsächlich bereits drauf oder die Angabe gefaked?
Ja, ich halte es ebenfalls für sinnvoll solche Informationen nicht preis zugeben.
{ 1 trackback }