• heise online
  • c't Magazin
  • iX Magazin
  • Technology Review
  • Telepolis
  • heise mobil
  • heise Security
  • heise Netze
  • Open Source
  • heise Developer
  • heise Resale
  • heise Foto
  • heise Autos
  • c't-TV
  • Software/Download
  • Stellenangebote
  • Preisvergleich
  • Tarifrechner
  • IT-Markt
  • heisetreff
  • heise Veranstaltungen
  • heise Whitepapers
  • Abo&Heft
  • Archiv

Security › News › 2008 › KW 6 › Lücke in WordPress ermöglicht Ändern von Nutzerbeiträgen

News-Meldung vom 05.02.2008 11:56

« Vorige | Nächste »


Lücke in WordPress ermöglicht Ändern von Nutzerbeiträgen

Die Entwickler des Blog-Systems WordPress haben Version 2.3.3 veröffentlicht, in der eine Sicherheitslücke geschlossen ist. Durch einen Fehler in der XML-RPC-Implementierung war es möglich, mit speziellen HTTP-Requests Einträge anderer Blogger zu ändern. Allerdings war dazu laut Fehlerbericht ein gültiges Nutzerkonto notwendig. Mit der XML-RPC-Implementierung hatte WordPress in der Vergangenheit des Öfteren zu kämpfen.

Neben der Schwachstelle wurden auch einige andere Fehler beseitigt. Wer allerdings nur Interesse an dem Security-Fix hat, dem empfehlen die Entwickler, die korrigierte Version des Skripts xmlrpc.php herunterzuladen und zu installieren. Darüber hinaus weist der Bericht auf eine Schwachstelle in dem Plug-in WP-Forum hin, die bereits aktiv ausgenutzt wird, um über SQL-Injection Zugriff auf die Datenbank zu erhalten. Bis zum Erscheinen eines Updates solle man das Plug-in deaktivieren.

Siehe dazu auch:

  • WordPress 2.3.3, Fehlerbericht auf Wordpress.org

(dab/c't)

[Version zum Drucken]   [Per E-Mail versenden]

« Vorige | Nächste »


Kommentare lesen (79 Beiträge)

Themen-Forum Schwachstellen


English version: Hole in WordPress allows third parties to edit users’ posts

Artikel

  • Programmieren von Exploits
  • TLS-Renegotiation-Schwachstelle erklärt
  • Security Operations von Innen
  • Smartcard für Sat-TV hacken
  • API-Signaturen bei Flickr, Vimeo & Co. fälschen

Tools

  • c't Helper 1.25
  • Keykeriki
  • Exegesis
  • PDF-Tools
  • sqlmap

Lesenswertes

  • Programmieren von Exploits
  • TLS-Renegotiation-Schwachstelle erklärt
  • Smartcard für Sat-TV hacken
  • API-Signaturen bei Flickr, Vimeo & Co. fälschen
  • Zertifikatsanfrage? Probiers später!
heise Security

Suche

 

News

  • 7-Tage-Alerts
  • 7-Tage-News
  • News-Archiv
  • Newsletter
  • English News
  • RSS-Feed

Hintergrund

  • Know-how
  • Kommentar
  • Praxis
  • Produkte
  • Hintergrund-Archiv

Foren

  • Desktopsicherheit
  • Firewall, VPN & IDS
  • heise Security
  • Penetration Tests
  • Politik und Gesellschaft
  • Schwachstellen
  • Serversicherheit
  • Verschlüsselung
  • Viren & Würmer

Dienste

  • Anti-Virus
  • Browsercheck
  • Emailcheck
  • Netzwerkcheck
  • Krypto-Kampagne
  • Tools
  • Datenschutzhinweis
  • Impressum, Kontakt
  • FAQ
  • Mediadaten
  • Contentmanagement by InterRed
  • Copyright © 2009 Heise Zeitschriften Verlag
  • International: The H, The H Security, The H Open Source, heise online Polska, heise Security Polska, heise Open Source Polska, heise Networks Polska