Antes de la actualización de WP 2.5.1 , se hablaba de una hazaña que no fue descrito en detalle.
Ahora, después de la Luz de liberación 2.5.1er on Dark: A través de la modificación de la cookie, los usuarios normales de derechos de administrador para colarse en el blog.

Esta vulnerabilidad existe debido a que es posible modificar
las cookies de autenticación sin invalidar la criptografía
la integridad de la protección.

Si un blog de Wordpress se ha configurado para permitir la libre creación de la cuenta,
Un atacante remoto puede obtener acceso de administrador de Wordpress-y luego
elevar esto a la ejecución de código arbitrario como el usuario del servidor web.

Esta hazaña se ha fijado en los puntos 2.5.1 y se recomienda por lo tanto posible cada chnellst para hacer la revisión, o al menos desactivar el registro de usuarios.
El propósito de usuarios registrados, a menos que existan realmente los autores, se ha abierto ante mí, no.

Esta hazaña es distinta de la relación de la clave secreta que también me llevó directo a la búsqueda de nuevo, esta entrada estaba en mi archivo wp-config.php que no está ahí, a veces planos, ni siquiera con la norma de "clave secreta".

Vuelvo a preguntar, Automattic .... ¿qué estás haciendo?

[Vía Blog de ​​Seguridad ]

	Mensajes similares [Wordpress] WP 2.6.2 versión de seguridad [Wordpress] Exploit XSS en WordPress <= 2.6.3 [Wordpress] WP 2.6.3 de revisiones de seguridad
	Dirección de Trackback