Sicherheitslücke in WordPress 2.2 ermöglicht SQL-Injection (mit Workaround)

WordPress
Wordpress - Logo

WordPress 2.2 ist erst vor kurzem veröffentlicht worden. Doch jetzt ist eine schwerwiegende Sicherheitslücke bekannt geworden, die über eine SQL-Injection das Auslesen der Daten aus der Datenbank wp_users ermöglicht.

Im vorliegenden Fall ist die WordPress-Datei xmlrpc.php im Hauptverzeichnis das Problem. Jeder Nutzer, der über einen Account verfügt, könnte die Sicherheitslücke aushebeln. Dazu zählen auch Registrierungen, die noch nicht vom Blogbetreiber freigegeben wurden. Deshalb ist es ratsam, die Benutzerregistrierung abzuschalten, bis WordPress ein Update veröffentlicht.

Sicherheitslücke stopfen

Darüber hinaus können Nutzer schon jetzt die Datei xmlrpc.php selbst ändern, um die Sicherheitslücke zu schließen. In der Datei findet sich aktuell in Zeile 541 die Anweisung $max_results = $args[4];, die man einfach in $max_results = (int) $args[4]; ändern muss.

Noch ausführlicher fällt der Beitrag auf Buayacorp aus, der allerdings in Spanisch verfasst ist.1 Dort heißt es außerdem, dass auch die derzeit in der Entwicklung befindliche Ausgabe noch über den Fehler verfügt. Sicher wird man beim WordPress-Team bis zum Release die Lücke geschlossen haben.

Geschrieben von:
Geschrieben am: 30.05.2007
Zuletzt aktualisiert: 22.01.2016
Zurück zu: News
Was sagst Du dazu? Kommentieren!
Eva K. Hinte von Bondea im Interview
Warum Don Alphonso in einer Blase gefangen ist

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>



Zuletzt kommentiert