Prije nadogradnje na WP 2.5.1 , razgovor bio exploit koji nije opisan u detalje.
Sada, nakon puštanje 2.5.1er svjetlog na tamnom: Kroz modifikacije kolačića, normalni korisnici prava admin ušuljati u blogu.

Ova ranjivost postoji, jer je moguće modificirati
provjeru kolačići bez ukidanja kriptografske
Zaštita integriteta.

Ako Wordpress blog je konfiguriran tako da slobodno dopustiti stvaranje računa,
Udaljeni napadač može dobiti Wordpress-administratorski pristup, a zatim
uzdići to izvršavanje proizvoljnog koda kao korisnik web poslužitelja.

To exploit je fiksiran u 2.5.1 te se preporuča svake chnellst je moguće napraviti popraviti, ili barem onemogućiti registracija korisnika.
Svrha registriranim korisnicima, osim ako su stvarno autori, otvorila je prije mene nikada.

To je jedan exploit osim odnosu na tajnim ključem koji me je doveo izravno pretraživanje opet, to je ulazak u mom wp-config.php datoteku koja nije tu s vremena na vrijeme ravnih, ni sa standardnim "tajnim ključem".

Pitam opet, Automattic .... što to radiš?

[Via sigurnosti Blog ]

	Slične postove [Wordpress] WP 2.6.2 Sigurnost Izdanje [Wordpress] XSS iskorištavati u WordPress <= 2.6.3 [Wordpress] WP 2.6.3 Sigurnost hitnog
	Trackback URL