Før opdatering til WP 2.5.1 var tale om en udnyttelse, der ikke var beskrevet i detaljer.
Nu, efter udgivelsen 2.5.1er Light på Dark: Gennem ændring af cookie, at almindelige brugere administratorrettigheder snige sig i bloggen.

Denne sårbarhed eksisterer fordi det er muligt at ændre
autentificering cookies uden at ugyldiggøre den kryptografiske
integritet beskyttelse.

Hvis en Wordpress blog er konfigureret til at frit at tillade kontooprettelse,
En fjern angriber kan få Wordpress-administrator adgang og derefter
ophøje dette til kørsel af vilkårlig kode som webserveren brugeren.

Denne udnyttelse er fastsat i 2.5.1, og derfor anbefales alle chnellst er muligt at foretage rettelsen, eller i det mindste slå brugerregistrering.
Formålet med registrerede brugere, medmindre der er virkelig forfattere, har åbnet op for mig aldrig.

Denne udnyttelse er en anden end for den hemmelige nøgle , som også har bragt mig direkte for at søge igen, denne post var i min wp-config.php fil, der ikke er der til tider flade, ikke engang med den standard "hemmelige nøgle".

Jeg spørger igen, Automattic .... hvad laver du?

[Via Security Blog ]

	Lignende indlæg [Wordpress] WP 2.6.2 Sikkerhed Udgivelsesdato [Wordpress] XSS Exploit i WordPress <= 2.6.3 [Wordpress] WP 2.6.3 Security hotfix
	Trackback URL