WordPress & Webwork

Schwachstelle in WordPress: Reset des Admin-Passworts

Es gibt leider eine neue Schwachstelle in WordPress 2.8.x. So ist es möglich das Passwort des Admins zurückzusetzen. Man kann zwar die Lücke nur ausnutzen, wenn man auch den Zugriff auf das jeweilige E-Mail-Konto hat, aber das Passwort ist leider zurückgesetzt und der Admin erstmal ausgesperrt.

Bis es eine neue Version von WordPress gibt, soll angeblich folgende Änderung in der wp-login.php helfen. Gehe zu Zeile 190:

if ( empty( $key ) )

und ersetze den oberen durch folgenden Code:

if ( empty( $key ) || !is_string( $key ) )

Hier sollte man die Änderungem im Trac im Auge behalten, weil der erste Änderungsvorschlag der wp-login.php schon nicht mehr aktuell ist. Daher könnte es gut sein, dass auch die Änderung die ich oben vorgestellt habe bald überholt ist.

Weitere Infos bei Caschy und vor allem in den Kommentaren.

7 Reaktion(en)

  1. ocean90

    Ich denke zu diesem Fix gehört dann aber auch noch Changeset 18000-18004, wobei 18004 das endgültige Produkt ist. Dieser sollte eigentlich verteilt werden.

    Gruß

  2. Pingback: Warum Wordpress ganz schön nervig ist | TechBanger.de

  3. Pingback: WordPress 2.8.4 ist da » Peruns Weblog

  4. Pingback: WP 2.8.4 – ich sehe die Rücklichter » dyingeyes weblog

  5. Ralph

    Dazu hätte ich mal eine Frage, kommt zwar etwas spät aber mir geht es ums Verstehen.
    Und was passiert, wenn ich nach der Installation dieses Account gelöscht hab, natürlich nachdem ich einen neuen Admin Account angelegt hab.
    😉

    Oder trifft das grundsätzlich auf den Account Admin zu ?
    Wenn ja, sind dann auch Beutzer Accounts davon betroffen betroffen ?

    MfG Ralph

Die Kommentare in diesem Beitrag sind geschlossen.

✉ WordPress-Newsletter ✉

Tipps und News als E-Mail in deinem Postfach? Dann abonniere einfach den ersten deutsch­sprachigen Word­Press-Newsletter:


Der Newsletter ist hinterher jederzeit abbestellbar.

Eintragen!