Schwachstelle in Multiuser-Version von WordPress

Nicht privilegierte Anwender können eigene PHP-Skripte auf den Server laden und ausführen lassen. Ein Update zum Schließen der Lücke steht bereit.

7

07.02.2008, 16:12 Uhr

Lesezeit: 1 Min.

Security

Von

Daniel Bachfeld

In der Multiuser-Version von WordPress steckt eine Lücke, mit der Angreifer einen Server unter ihre Kontrolle bekommen können. Laut Fehlerbericht ist es für Nutzer möglich, eigene PHP-Skripte auf den Server zu laden und auszuführen, sofern sie auf die Funktionen manage_options und upload_files zugreifen können. Ein Exploit zum Ausnutzen der Lücke ist bereits öffentlich verfügbar.

Betroffen ist WordPress MU in Version 1.3.1, ab 1.3.2 ist der Fehler behoben. Die Entwickler empfehlen dringend, auf die aktuelle Version zu wechseln. Wer bis jetzt noch nicht auf 1.3.2 aktualisiert hat, kann jetzt gleich den Sprung auf Version 1.3.3 wagen, die funktionell auf dem gleichen Stand wie WordPress 2.3.3 sein soll und zum Download bereit steht.

Siehe dazu auch:

WordPress MU 1.3.3, Fehlerbericht auf mu.wordpress.org
WordPress [MU] blog's options overwrite, Fehlerbericht von Alexander Concha

(dab)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Schwachstelle in Multiuser-Version von WordPress

Spiele

6 Monate mit 50 % RabattVolles Wissen, halber Preis: 6 Monate mit 50 % Rabatt

Das digitale Abo für IT und Technik.