05.02.2008 11:56
Die Entwickler des Blog-Systems WordPress haben Version 2.3.3 veröffentlicht, in der eine Sicherheitslücke geschlossen ist. Durch einen Fehler in der XML-RPC-Implementierung war es möglich, mit speziellen HTTP-Requests Einträge anderer Blogger zu ändern. Allerdings war dazu laut Fehlerbericht ein gültiges Nutzerkonto notwendig. Mit der XML-RPC-Implementierung hatte WordPress in der Vergangenheit des Öfteren zu kämpfen.
Neben der Schwachstelle wurden auch einige andere Fehler beseitigt. Wer allerdings nur Interesse an dem Security-Fix hat, dem empfehlen die Entwickler, die korrigierte Version des Skripts xmlrpc.php herunterzuladen und zu installieren. Darüber hinaus weist der Bericht auf eine Schwachstelle in dem Plug-in WP-Forum hin, die bereits aktiv ausgenutzt wird, um über SQL-Injection Zugriff auf die Datenbank zu erhalten. Bis zum Erscheinen eines Updates solle man das Plug-in deaktivieren.
Siehe dazu auch:
(dab)
English version: Hole in WordPress allows third parties to edit users’ posts
Themen-Forum Schwachstellen
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Permalink: http://heise.de/-176099
