Die auf Sicherheitsthemen spezialisierte heimische Firma SEC Consult hat eine schwere Sicherheitslücke in der Blogging-Software Wordpress entdeckt, wie sie in einem Online-Eintrag schreibt. Die "Zero-Day"-Lücke betrifft die Versionen 3.1.3 und älter, die laut SEC Consult eine eine "unzureichende Filterung bei gewissen Eingabefeldern" aufweisen. Damit würden grundelgende Anforderungen andie Sicherheit von Webanwendungen missachtet werden.
"Der Angreifer kann daher für die Rolle Editor beliebige SQL-Kommandos über diese Sicherheitslücken ausführen und erhält damit Zugriff auf die gesamte Datenbank der Wordpress-Anwendung mit den Rechte des entsprechenden Datenbank-Benutzers", so Markus Robin von SEC Consult.
View the original article here
