Wordpress-Update weist Autoren in ihre Schranken
Mit dem Update auf Version 3.0.2 schließen die Wordpress-Entwickler unter anderem eine Lücke, durch die sich Angreifer, die einen gültigen Autoren-Account haben, Admin-Rechte verschaffen können.
- Ronald Eikenberg
Das Sicherheitsupdate auf Version 3.0.2 des quelloffenen Blog-CMS Wordpress behebt unter anderem eine Privilege-Escalation-Schwachstelle in der Datei comment.php. Durch die Lücke können sich Angreifer, die Zugriff auf einen gültigen Autoren-Account haben, Adminrechte verschaffen. Zudem wurden zwei Cross-Site-Scripting-Lücken (XSS) geschlossen und die Pingback/Trackback-Whitelist entfernt, da man sie unter bestimmten Umständen austricksen kann.
Die vollständige Liste der Änderungen sowie detaillierte Update-Anweisungen bieten die Entwickler auf der Wordpress-Projektseite an. Die Entwickler raten allen Anwendern älterer Version zu einem Update. (rei)