Die schlechten Neuigkeiten scheinen kein Ende nehmen zu wollen: Nun hat ein Foren-Nutzer von WordPress Deutschland eine kritische Sicherheitslücke entdeckt, mit der sich allerhand Unheil anrichten lässt.
Das Problem tritt auf, sobald man als User registriert ist. Über einen modifizierten URL können bereits mit dem Status "Abonnent" diverse Einstellungsseiten wie zum Beispiel die Bereiche für Plug-ins und Themes aufgerufen und geändert werden.
Bis ein Patch in Sicht ist, wir geraten, die Benutzerregistrierung zu deaktivieren und ggf. alle (unbekannten) registrierten Benutzer zu löschen, sofern dies vertretbar sei.
Ein zwischenzeitlich bereitgestellter Bugfix eines Users wurde wieder entfernt, da der Vorwurf aufkam, dass sich damit wirklich jedes script kid den Exploit nachbauen könne.
Die Lücke wurde dem Security-Team bereits von den Jungs von WordPress Deutschland gemeldet. Nun heißt es Ruhe bewahren, sich über den Bug ärgern und hoffen, dass es möglichst bald eine Lösung dafür gibt.
