WordPress 2.8.4 schließt Sicherheitslücke

Das Update verhindert die unautorisierte Zurücksetzung des Administratorpassworts. Dadurch konnten Nutzer kurzzeitig aus ihrem Blog ausgesperrt werden. Betroffen sind alle Wordpress-Versionen bis einschließlich 2.8.3.

Wordpress-Logo

Die WordPress-Entwickler haben Version 2.8.4 ihrer Blogging-Software veröffentlicht. Das Update schließt eine gestern entdeckte Sicherheitslücke, die es Angreifern erlaubt, mittels einer manipulierten URL eine Sicherheitsabfrage zu umgehen und das Account-Passwort zurückzusetzen.

Als Folge wird in der Regel das Passwort des Administrators gelöscht und ein neues Passwort an die E-Mail-Adresse des Account-Besitzers gesendet. Zwar ermöglicht die von Laurent Gaffie entdeckte Schwachstelle keine Schadcodeausführung, aber ein Blog-Administrator kann durch die unautorisierte Zurücksetzung des Passworts kurzzeitig von seinem Blog ausgesperrt werden.

Der Fehler betrifft alle WordPress-Versionen bis 2.8.3. WordPress 2.8.4 steht ab sofort zum kostenlosen Download bereit. Alle Anwender sollten das Update schnellstmöglich installieren.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu WordPress 2.8.4 schließt Sicherheitslücke

Kommentar hinzufügen
  • Am 13. August 2009 um 10:16 von Netzwelt Ag

    WordPress 2.8.3 vs. 2.8.4
    in der wp-login.php die Zeile

    if ( empty( $key ) )

    durch

    if ( empty( $key ) || is_array( $key ) )

    ersetzen! Das wars!

Kommentare sind bei diesem Artikel deaktiviert.