WordPress 2.8.6 Update (XSS & Dateisystem Lücke)
Datum 12.11.2009 | Kategorien Blogging, Internet, Sicherheit
Mal wieder gibt es ein WordPress Sicherheitsrelease Update, diesmal auf Version 2.8.6. Hierbei werden zwei Sicherheitslücken behoben, welche bei registrierten und eingeloggten Usern ausgenutzt werden können, welche Schreibrechte haben.
Die erste Lücke ist ein XSS Leck in Press This und wurde von Benjamin Flesch entdeckt. Die zweite Lücke wurde von Dawid Golunski gemeldet und kann bei bestimmten Apache Konfigurationen ausgenutzt werden, wenn hochgeladene Dateinamen entsprechend manipuliert wurden.
Beides sind also Lücken, welche nur registrierte Nutzer ausnutzen können. Blogbetreiber mir nicht vertrauenswürdigen Schreibern sollten also lieber ein Update durchführen.
[...] ich nachgelesen habe war das ein Update um zwei Sicherheitslücken von registrierten Usern zu schließen. Da ich hier der einzige angemeldete bin mache ich mir daher [...]