SQL-Injection-Lücke in WordPress

Gerade im heise-Newsletter gelesen:

Eine SQL-Injection-Lücke in WordPress gefährdet die Sicherheit von Blogsystemen. Auf Milw0rm wurde ein Exploit veröffentlicht, der unautorisierte Zugriffe auf die zugrunde liegende Datenbank ermöglichen soll. Schuld ist die Funktion wp.suggestCategories im Modul xmlrpc.php, die Nutzerparameter nicht richtig filtert. Dadurch ist es möglich, eigene Befehle an die Datenbank zu übergeben und etwa Inhalte zu manipulieren oder Namen und Passwort-Hashes anderer Nutzer einzusehen. Für einen erfolgreichen Angriff ist allerdings eine vorherige Authentifizierung erforderllich.

Betroffen ist nur Version 2.2!

Dieser Beitrag wurde unter WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Kommentare zu SQL-Injection-Lücke in WordPress

  1. Martin sagt:

    da hab‘ ich auch vor kurzem drüber geschrieben. Die xmlrpc.php läßt sich aber sehr leicht patchen, um das Problem zu beheben.
    Leider ist mein Server gerade down, sonst hätte ich dir den Artikel-Link mit den Patch-Infos noch drangehängt.

  2. michael sagt:

    Im verlinkten heise-Artikel ist ein Link zur aktualisierten xmlrpc.php.

Kommentare sind geschlossen.