Prieš atnaujinti WP 2.5.1 aptarimas exploita, kad nebuvo išsamiai aprašyta.
Po spaudai 2.5.1er Šviesa ant Tamsiai: Per slapuką pakeitimo., Paprasti vartotojai admin teisės nukniaukti į dienoraštį.

Šis pažeidžiamumas egzistuoja, nes ji galima pakeisti
autentifikavimo slapukai be paneigti kriptografijos
vientisumo apsauga.

Jei WordPress dienoraštis yra sukonfigūruotas taip, kad laisvai galima sukurti paskyrą
Nuotolinio užpuolikas gali įgyti WordPress-administratoriaus prieigą ir tada
pakelti tai savavališkai kodo vykdymo, serverio vartotojo.

Šis išnaudojanti buvo nustatomas 2.5.1 ir todėl rekomenduojama kiekvieno chnellst galima padaryti pataisą, arba bent jau išjungti vartotojo registraciją.
Registruotiems vartotojams tikslas, išskyrus atvejus, kai tikrai yra autoriai, atvėrė prieš mane niekada.

Šis išnaudojanti programa yra viena išskyrus slaptą raktą, kuris taip pat pareiškė tiesiai į mane ieškoti dar kartą, šis įrašas buvo mano wp-config.php failą, kad nėra ten kartais plokščių, net su standartiniu "slapto rakto".

Aš klausiu vėl, Automattic .... ką tu darai??

[Via Saugumo Blog ]

	Panašūs Žinutės [WordPress] WP 2.6.2 Saugumo Leidiniai [WordPress] XSS Exploit į WordPress <= 2.6.3 [WordPress] WP 2.6.3 Saugumo Karštųjų
	Trackback URL