zurück zum Artikel

Mit speziellen HTTP-Requests lassen sich Einträge anderer Blogger ändern. In WordPress 2.3.3 ist die Lücke geschlossen.

Die Entwickler des Blog-Systems WordPress [1] haben Version 2.3.3 veröffentlicht, in der eine Sicherheitslücke geschlossen ist. Durch einen Fehler in der XML-RPC-Implementierung war es möglich, mit speziellen HTTP-Requests Einträge anderer Blogger zu ändern. Allerdings war dazu laut Fehlerbericht ein gültiges Nutzerkonto notwendig. Mit der XML-RPC-Implementierung hatte WordPress in der Vergangenheit des Öfteren zu kämpfen [2].

Neben der Schwachstelle wurden auch einige andere Fehler beseitigt. Wer allerdings nur Interesse an dem Security-Fix hat, dem empfehlen die Entwickler, die korrigierte Version des Skripts xmlrpc.php herunterzuladen und zu installieren. Darüber hinaus weist der Bericht auf eine Schwachstelle in dem Plug-in WP-Forum hin, die bereits aktiv ausgenutzt wird, um über SQL-Injection Zugriff auf die Datenbank zu erhalten [3]. Bis zum Erscheinen eines Updates solle man das Plug-in deaktivieren.

Siehe dazu auch:

• WordPress 2.3.3 [4], Fehlerbericht auf Wordpress.org

(dab [5])

URL dieses Artikels:
https://www.heise.de/-176099

Links in diesem Artikel:
[1] http://wordpress.org/download/
[2] http://www.heise.de/security/suche/?rm=search&filter_1=1&filter_2=1&filter_3=1&q=xmlrpc+wordpress&search_submit=Suchen
[3] http://milw0rm.com/exploits/4939
[4] http://wordpress.org/development/2008/02/wordpress-233/
[5] mailto:dab@ct.de

Copyright © 2008 Heise Medien