Voor de update van WP 2.5.1 , het gesprek was van een exploit die niet in detail beschreven.
Nu, na de release 2.5.1er licht op donkere: Door wijziging van de cookie, voor gewone gebruikers admin rechten sluipen in de blog.

Dit beveiligingslek wordt veroorzaakt doordat het mogelijk is te wijzigen om
authenticatie cookies zonder ongeldig maken van de cryptografische
integriteit bescherming.

Als er een Wordpress blog is geconfigureerd om vrij te staan ​​met de schepping,
Een externe aanvaller kan krijgen Wordpress-beheerder toegang en vervolgens
verheffen dit tot uitvoering van willekeurige code als de webserver gebruiker.

Deze exploit is vastgesteld in de punten 2.5.1 en wordt daarom aanbevolen om de chnellst is het mogelijk om de fix te maken, of op zijn minst uit te schakelen van de gebruiker te registreren.
Het doel van geregistreerde gebruikers, tenzij er echt auteurs, is opengesteld voor mij nooit.

Deze exploit is een andere dan de ten aanzien van de geheime sleutel , die ook heeft gebracht direct me om opnieuw te zoeken, dit bericht was in mijn wp-config.php bestand dat er niet soms vlak, zelfs niet met de standaard "geheime sleutel".

Ik vraag nogmaals, Automattic .... wat doe je?

[Via Security Blog ]

Tags: Automattic , blog , exploit , kritiek , beveiliging , WordPress

	Vergelijkbare berichten [Wordpress] WP 2.6.2 beveiligingsupdate [Wordpress] XSS Exploit in WordPress <= 2.6.3 [Wordpress] WP 2.6.3 beveiligingshotfix
	Trackback URL