Før oppdateringen til WP 2.5.1 , var snakk om en utnytting som ikke ble beskrevet i detalj.
Nå, etter utgivelsen 2.5.1er lyser opp i mørke: Gjennom endring av cookie, til vanlige brukere admin rettigheter snike i bloggen.

Dette sikkerhetsproblemet eksisterer fordi det er mulig å modifisere
autentisering cookies uten ugyldig kryptografisk
integritet beskyttelse.

Hvis en Wordpress blogg er konfigurert til fritt tillate opprettelse av konto,
En ekstern angriper kan få Wordpress-administrator tilgang og deretter
heve dette til kjøring av vilkårlig kode som webserver brukeren.

Denne utnyttelsen har blitt fikset i 2.5.1 og anbefales derfor hvert chnellst er mulig å foreta reparasjonen, eller i det minste deaktivere brukerregistrering.
Formålet med registrerte brukere, med mindre det er virkelig forfattere, har åpnet opp før meg aldri.

Denne utnyttelsen er en annen enn respekt av den hemmelige nøkkelen som også har brakt meg direkte for å søke igjen, var denne oppføringen i mitt wp-config.php fil som ikke er der til tider flate, ikke engang med standard "hemmelig nøkkel".

Jeg spør igjen, Automattic .... hva gjør du?

[Via Security Blog ]

Tags: Automattic , blogg , utnytte , kritikk , sikkerhet , WordPress

	Lignende innlegg [Wordpress] WP 2.6.2 sikkerhetsoppdateringen utgitt [Wordpress] XSS Exploit i WordPress <= 2.6.3 [Wordpress] WP 2.6.3 Security Hotfix
	Trackback URL