Avant la mise à jour de WP 2.5.1 , on a parlé d'un exploit qui n'a pas été décrite en détail.
Maintenant, après la Lumière communiqué 2.5.1er on Dark: Grâce à la modification du cookie, les droits des utilisateurs normaux d'administration de se faufiler dans le blog.

Cette vulnérabilité existe car il est possible de modifier
les cookies d'authentification sans invalider le cryptographique
protection de l'intégrité.

Si un blog Wordpress est configuré pour permettre la création de compte librement,
Un attaquant distant peut obtenir Wordpress-administrateur d'accès, puis
élever cette exécution de code arbitraire lorsque l'utilisateur du serveur web.

Cet exploit a été corrigé dans la 2.5.1 et est donc recommandé possible tous les chnellst de faire la correction, ou au moins désactiver l'enregistrement de l'utilisateur.
Le but d'utilisateurs enregistrés, sauf s'il ya vraiment des auteurs, a ouvert devant moi jamais.

Cet exploit n'est autre que le rapport de la clé secrète qui m'a également apporté directement à la recherche de nouveau, cette entrée était dans mon fichier wp-config.php qui n'est pas là à des moments plats, même pas à la norme «clé secrète».

Je demande encore une fois, Automattic .... que faites-vous?

[Via Blog de ​​sécurité ]

Tags: Automattic , Blog , exploit , la critique , la sécurité , WordPress

	Articles similaires [Wordpress] Communiqué de sécurité WP 2.6.2 [Wordpress] XSS Exploit dans WordPress <= 2.6.3 [Wordpress] WP 2.6.3 correctif logiciel de sécurité
	URL de trackback