Lücke in WordPress ermöglicht Ändern von Nutzerbeiträgen

Die Entwickler des Blog-Systems WordPress haben Version 2.3.3 veröffentlicht, in der eine Sicherheitslücke geschlossen ist. Durch einen Fehler in der XML-RPC-Implementierung war es möglich, mit speziellen HTTP-Requests Einträge anderer Blogger zu ändern. Allerdings war dazu laut Fehlerbericht ein gültiges Nutzerkonto notwendig. Mit der XML-RPC-Implementierung hatte WordPress in der Vergangenheit des Öfteren zu kämpfen.

Neben der Schwachstelle wurden auch einige andere Fehler beseitigt. Wer allerdings nur Interesse an dem Security-Fix hat, dem empfehlen die Entwickler, die korrigierte Version des Skripts xmlrpc.php herunterzuladen und zu installieren. Darüber hinaus weist der Bericht auf eine Schwachstelle in dem Plug-in WP-Forum hin, die bereits aktiv ausgenutzt wird, um über SQL-Injection Zugriff auf die Datenbank zu erhalten. Bis zum Erscheinen eines Updates solle man das Plug-in deaktivieren.

Siehe dazu auch:

• WordPress 2.3.3, Fehlerbericht auf Wordpress.org

(dab/c't)