Es gibt mal wieder eine neue Version von WordPress, die eine Sicherheitslücke schließt, die registrierten Nutzern das Ändern von Beiträgen anderer Blogger erlaubt. Es wurden zusätzlich noch einige weitere Fehler entfernt, die im Tracker nachzulesen sind.

WordPress 2.3.3 schliesst Sicherheitslücke

Die geschlossene Sicherheitslücke befindet sich mal wieder in der XML-RPC-Implementierung und ermöglichte Nutzern, die ein gültiges Konto in der WordPress-Installation hatten, mit Hilfe von speziellen HTTP-Requests, die Einträge anderer Blogger zu verändern.

Wer nur die Sicherheitslücke schliessen möchte, kann eine korrigierte Version des entsprechenden Skripts xmlrpc.php herunterladen und über das alte kopieren.

Ein bereits aktiv ausgenutzten Exploit ist laut Aussage der WordPress-Macher im WordPress-Plugin WP-Forum enthalten. Dieser Exploit macht sich SQL-Injection zunutze, um Zugriff auf die Datenbank zu bekomen. Es wird empfohlen das Plugin abzuschalten, bis ein Update erschienen ist.

Link zum Bericht
Link Fehlerliste