Sicherheitslücke: Blogroll-Spam

Anscheinend gibt es in WordPress eine Sicherheitslücke, die es beliebigen Nutzern erlaubt die Blogroll zu erweitern. Betroffen sind so weit nicht nur die Version 2.3 sondern auch die vorherigen Versionen. Mehr dazu gibt es im offiziellen WordPress-Forum.

Die Lösung des Problems ist es die alte /wp-admin/link.php durch die neue Datei auszutauschen. Folgender Code wird hinzugefügt:

if ( ! current_user_can('manage_links') )
wp_die( __('You do not have sufficient permissions
to edit the links for this blog.') );

Via Blogsecurity.net.

Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienst­leistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.

Verwandte Beiträge:

6 Kommentare

  1. Richtig begriffen habe ich das (im Support-Forum und im WP-trac) jetzt nicht:

    Es scheint, dass der Angreifer (Fall im Support-Forum) erst einen User angelegt hat, mit dem er Spamlinks eingefügt hat. Nach Entfernen dieses Users hat er es dann ohne User gemacht? So liest sich das zumindest dort. Im WP-trac sieht es dagegen dann tatsächlich eher so aus, dass es keine Authentifizierung braucht.

  2. ich habe noch WP Version 2.2.3 im Einsatz (muss mein Theme noch auf 2.3 anpassen) und dort ist der oben genannte Code schon enthalten.

  3. Schon wieder……

    Wie ich bei gerade bei Susanne gelesen habe, steht WordPress 2.3.1 vor der Tür.
    Perun meldet eine Sicherheitslücke in der Blogroll…
    Hmpf.
    Serendipity wird immer attraktiver.
    ……

  4. […] Sicherheitslücke: Blogroll-Spam :: […]

Kommentare sind geschlossen.