SQL-Injection in Wordpress 2.2 möglich

Ben · 11.06.2007, 07:51

Wie Heise.de in seinem Online-Newsticker berichtet wurde eine Sicherheitslücke in der beliebten Webloganwendung Wordpress entdeckt.

So ist es über die in Version 2.2 neu hinzugefügte Funktion wp.suggestCategories in der Datei xmlrpc.php möglich, nach erfolgreicher Anmeldung als User, beliebige Anfragen an die verwendete Datenbank zu schicken und laut Heise

Zitat:

Inhalte zu manipulieren oder Namen und Passwort-Hashes anderer Nutzer einzusehen.

Durch die benötigte Useranmeldung sind nur Wordpress-Installationen mit möglicher Userregistrierung betroffen.

Die Lücke war anscheinend schon etwas länger bekannt, da diese im 2.2 Branch der Wordpress-Entwickler bereits behoben ist.

Die Version 2.2.1 ist derzeit noch nicht zum Download verfügbar, so dass man sich mit dem Patch zufrieden geben muss.

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Wordpress 2.2.3 schließt zwei Sicherheitslöcher	Ben	Nachrichten	0	13.09.2007 12:49
Wordpress blog - wie groß?	kampfgnom	Plauderecke	11	03.06.2007 18:11
Abkürzung des Wochentags in SQL, vgl. strftime in PHP	Ben	Datenbanken	4	12.04.2007 16:51
Wordpress 2.0.4 veröffentlicht - Bugfix release	Ben	Nachrichten	0	01.08.2006 00:32
sql injection	robo47	Plauderecke	3	18.05.2006 16:24

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)