Core Security ein Sicherheitsdienstleister warnt derzeit vor Fehlern im aktuellen WordPress-System, welches es Angreifern ermöglicht PlugIns zu verändern und deren Optionen zu ändern. Schuld an diesem Problem ist scheinbar die admin.php, welches die Zugriffsrechte von angemeldeten Usern nicht sauber prüft und so den Usern mehr Rechte zuteilt, als diese eigentlich besitzen sollten.
Zu diesem Fehler hat Coresecurity noch weitere kleinere Schwachstellen aufgedeckt, welche z.B. Cross-Site-Scripting ermöglichen. Ebenfalls soll das Anmeldemodul eine Schwachstelle aufweisen, durch welche es möglich ist, Rückschlüsse auf richtige Usernamen zu bekommen.
Betroffen sind laut Coresecurity die WordPress Version 2.8 und Vorgängerversionen. MU in der Version 2.7.1 und Vorversionen sind ebenfalls betroffen.
Bei der Version 2.8.1 von WordPress und MU sollen die Fehler behoben sein, welche es derzeit jedoch nur als Release Canidate gibt.
Tags:
- wordpress sicherheitslücke
Ja, ich halte es ebenfalls für sinnvoll solche Informationen nicht preis zugeben.