Die Wordpress-Entwickler haben Version 2.8.4 ihrer Blogging-Software veröffentlicht. Das Update schließt eine gestern entdeckte Sicherheitslücke, die es Angreifern erlaubt, mittels einer manipulierten URL eine Sicherheitsabfrage zu umgehen und das Account-Passwort zurückzusetzen.
Als Folge wird in der Regel das Passwort des Administrators gelöscht und ein neues Passwort an die E-Mail-Adresse des Account-Besitzers gesendet. Zwar ermöglicht die von Laurent Gaffie entdeckte Schwachstelle keine Schadcodeausführung, aber ein Blog-Administrator kann durch die unautorisierte Zurücksetzung des Passworts kurzzeitig von seinem Blog ausgesperrt werden.
Der Fehler betrifft alle Wordpress-Versionen bis 2.8.3. Wordpress 2.8.4 steht ab sofort zum kostenlosen Download bereit. Alle Anwender sollten das Update schnellstmöglich installieren.
Lesermeinungen zum Artikel
if ( empty( $key ) )
durch
if ( empty( $key ) || is_array( $key ) )
ersetzen! Das wars!