Anscheinend gibt es in WordPress eine Sicherheitslücke, die es beliebigen Nutzern erlaubt die Blogroll zu erweitern. Betroffen sind so weit nicht nur die Version 2.3 sondern auch die vorherigen Versionen. Mehr dazu gibt es im offiziellen WordPress-Forum.

Die Lösung des Problems ist es die alte /wp-admin/link.php durch die neue Datei auszutauschen. Folgender Code wird hinzugefügt:

if ( ! current_user_can('manage_links') )
wp_die( __('You do not have sufficient permissions
to edit the links for this blog.') );

Via Blogsecurity.net.

Divi: Premium-Theme für WordPress
Werbung

Geschrieben von Vladimir

Vladimir Simović, arbeitet seit 2000 mit HTML & CSS und seit Januar 2004 mit WordPress. Im Laufe der Jahre hat er diverse Fachbücher und Fachartikel publiziert.

  1. Geht das schon wieder los mit den Sicherheitslücken, dann kommt ja bald WP 2.3.1 😈

  2. Richtig begriffen habe ich das (im Support-Forum und im WP-trac) jetzt nicht:

    Es scheint, dass der Angreifer (Fall im Support-Forum) erst einen User angelegt hat, mit dem er Spamlinks eingefügt hat. Nach Entfernen dieses Users hat er es dann ohne User gemacht? So liest sich das zumindest dort. Im WP-trac sieht es dagegen dann tatsächlich eher so aus, dass es keine Authentifizierung braucht.

  3. ich habe noch WP Version 2.2.3 im Einsatz (muss mein Theme noch auf 2.3 anpassen) und dort ist der oben genannte Code schon enthalten.

  4. Schon wieder……

    Wie ich bei gerade bei Susanne gelesen habe, steht WordPress 2.3.1 vor der Tür.
    Perun meldet eine Sicherheitslücke in der Blogroll…
    Hmpf.
    Serendipity wird immer attraktiver.
    ……

  5. Meine del.icio.us-Links vom 16. Oktober bis zum 18. Oktober | Stephan A. aus B. Freitag, 19. Oktober 2007 am 08:26

    […] Sicherheitslücke: Blogroll-Spam :: […]

  6. Da überlegt man sich doch dreimal ob man Updates draufspielt…

Kommentare sind geschlossen.