Erst wenige Tage sind seit der Veröffentlichung von WordPress 2.8.2 vergangen und schon gibt es ein nicht zu unterschätzendes Sicherheitsproblem bei allen WordPress Installationen die auch eine öffentliche Benutzerregistrierung zur Verfügung stellen. Wehe wenn einer dieser Benutzer Böses im Schilde führt, denn WordPress Deutschland hat gestern davon berichtet dass einer der WordPress Forenbenutzer eine nicht zu unterschätzende Sicherheitslücke in WordPress  2.8.2, 2.8.1, 2.8 und älteren Versionen entdeckt hat.

Das aufgedeckte Sicherheitsloch ermöglicht registrierten Benutzern einer WordPress Installation, es reicht schon wenn der Benutzer den Status “Abonnent” inne hat, diverse Einstellungsseiten aufzurufen die normalerweise nur für Administratoren zugänglich sein sollten.  Auf diesen Einstellungsseiten z.B. Plugins, Themes etc. kann dieser Benutzer dann auch Einstellungen vornehmen und somit die gesamte Installation gefährden.

Da diese Lücke erst kürzlich entdeckt wurde gibt es bis zum jetzigen Zeitpunkt noch kein Fix für dieses Problem, WordPress Deutschland empfiehlt bis zum erscheinen eines Bugfixes: …”raten wir dringend die Benutzerregistrierung zu deaktivieren und ggf. alle (unbekannten) registrierten Benutzer zu löschen, sofern dies vertretbar ist.” 

DerAdler.de wird berichten sobald ein Fix oder eine neuere Version bereit steht.

DerAdler 02.08.09

Quelle(n): http://blog.wordpress-deutschland.org/