Sebelum update ke WP 2.5.1 , pembicaraan adalah suatu eksploitasi yang tidak dijelaskan secara rinci.
Sekarang, setelah Cahaya rilis 2.5.1er pada Dark: Melalui modifikasi cookie, normal pengguna hak admin untuk menyelinap dalam blog.

Kerentanan ini ada karena ada kemungkinan untuk memodifikasi
otentikasi cookies tanpa mengabaikan kriptografi yang
integritas perlindungan.

Jika blog Wordpress dikonfigurasi untuk secara bebas mengizinkan pembuatan account,
Seorang penyerang remote dapat mendapatkan Wordpress-akses administrator dan kemudian
mengangkat ini untuk eksekusi kode sewenang-wenang sebagai user web server.

Eksploitasi ini telah diperbaiki di 2.5.1 dan karena itu direkomendasikan mungkin setiap chnellst untuk membuat memperbaiki, atau setidaknya menonaktifkan pendaftaran pengguna.
Tujuan dari pengguna terdaftar, kecuali ada benar-benar penulis, telah membuka sebelum saya tidak pernah.

Mengeksploitasi Ini adalah salah satu selain sehubungan dengan kunci rahasia yang juga membawa saya langsung ke search lagi, ini adalah masuk dalam wp-config.php file saya yang tidak ada pada waktu-waktu datar, bahkan dengan "kunci rahasia" standar.

Aku bertanya lagi, Automattic .... apa yang kamu lakukan?

[Via Blog Keamanan ]

	Similar posting [Wordpress] WP 2.6.2 Keamanan Rilis [Wordpress] XSS Exploit di Wordpress <= 2.6.3 [Wordpress] WP 2.6.3 Keamanan Hotfix
	Trackback URL