WordPress: Ungeprüfte Privilegien in admin.php und mehrfache Information Disclosure Schwachstellen

Fernando Das Wordpress LogoDas Wordpress Logo Arnaboldi und José Orlicki von Core Security Technologies in Boston haben am 8. Juli 2009 Sicherheitslücken in Wordpress veröffentlicht (Bugtraq ID 35581 und 35584), die es lokalen Benutzern erlauben, aus den vom Administrator vorgegebenen Access Control Roles auszubrechen.

Detailiert erläutern Arnaboldi und Orlicki (Advisory ID CORE-2009-0515) unter Punkt 8 (Technical Description / Proof of Concept Code) die verschiedenen Abuse-Szenarien. "Nebenbei" weisen beide zudem auf Information Disclosures Lücken hin, die dem Wordpress Team seit einem halben Jahr (!) bekannt sind. Wie Heise heute Mittag einräumte, ist unter den betroffenen Plugins auch das Wordpress Modul für "PHPIDS" - noch in Heft 10/2009 hatte die c't marktschreierisch getitelt: "Alarmanlage - Angriffe auf Webanwendungen mit PHPIDS erkennen".

Die Probleme sind ab sofort / WordPress 2.8.1 ( Download: wordpress.org/latest.tar.gz) behoben - wer nicht in den nächsten Stunden/Tagen zu einer fehlerbereinigten Version wechselt ist selber Schuld und hat unter Umständen trotz c't-"Alarmanlage" schon sehr bald einen zusätzlichen unerwünschten Administrator...

kurzzughalt