前にWP 2.5.1へのアップデート 、話が詳細に記載されていない脆弱性であった。
今、ダークのリリース2.5.1erライト後：クッキーの変更により、通常のユーザーが管理者権限がブログでこっそりします。

それは変更する可能性があるため、この脆弱性が存在する
暗号化を無効にせずに認証Cookie
整合性が保護されます。

Wordpressのブログは自由にアカウント作成を許可するように構成されている場合は、
リモートの攻撃者は、Wordpressの管理者アクセスとその後を得ることができます
Webサーバのユーザとして任意のコードが実行され、これを高める。

このエクスプロイトは、2.5.1で修正されていますので、すべてのchnellst修正を行うことは可能ですか、少なくともユーザー登録を無効にするをお勧めします。
登録ユーザーの目的は、著者が実際に存在する限り、決して私の前に開かれている。

この脆弱性以外のものである秘密鍵の尊重にも再び検索するには直接私にもたらした、このエントリはそれがなくても標準的な"秘密鍵"で、平らな時間でありません私のwp-config.phpファイルであった。

私は、再び尋ねるAutomatticのを .... あなたは何をやっているんですか？

[経由のセキュリティブログ ]

タグ： Automatticが 、 ブログ 、 攻撃 、 批判 、 セキュリティ 、 ワードプレス

	同様の投稿 [Wordpressの] WP 2.6.2セキュリティリリース [Wordpressの] WordPressのXSSの悪用<= 2.6.3 [Wordpressの] WP 2.6.3セキュリティ修正プログラム
	トラックバックURL