Internet / WordPress

WordPress 2.8.3: Admin password reset exploit – schwere Sicherheitslücke

Avatar-Fotovon | 72 Kommentare

wordpressbox80x80pixelGerade eben von meinem langjährigen Netzkollegen Alexander auf eine Sicherheitslücke in WordPress 2.8.3 aufmerksam gemacht worden. So ist es jedem möglich, dass Passwort des Administrators zurück zu setzen. Zwar kann man die Lücke nicht ausnutzen sofern man nicht auf das Mailkonto des Admins Zugriff hat, doch dieser kann sich auch erst einmal nicht einloggen, ohne vorher sein neues Passwort per Mail abzufragen. Um dies bis zur nächsten Version zu beheben, öffnet eure wp-login.php und ändert in Zeile 190 den Text von if ( empty( $key ) ) in if ( empty( $key ) || is_array( $key ) ).

Betroffen sind scheinbar nur die Versionen 2.8.x. Ich weiss wie der Exploit ausgeführt wird und habe ihn erfolgreich an zwei Blogs ausprobieren können. Allerdings werde ich den Aufruf hier logischerweise nicht veröffentlichen. Den ganzen Ärger kann man sich auch sparen, sofern man seinen Daten zusätzlich per .htaccess absichert.

Nachtrag: bitte eventuell auch diesen Kommentar beachten. Ausserdem findet ihr hier den technischen Hintergrund.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

72 Kommentare

  1. carsten|braun says:
    11. August 2009 um 18:53 Uhr

    Vielen Dank für den Hinweis!
    Habe die Datei sofort geändert. 😉

  2. Beta says:
    11. August 2009 um 19:06 Uhr

    @Perry

    Falsch, das funktioniert immer.
    Man führe sich bitte die Erklärung von Filzo zu Gemüte.
    Die Datenbankabfrage nach “SELECT * FROM $wpdb->users WHERE user_activation_key = %s” liefert dann alle Benutzer aus wp_users zurück, deren Feld user_activation_key = ” ist.
    Da dabei automatisch nach dem Primärschlüssel (ID) sortiert wird und für gewöhnlich der Admin die ID = 1 hat, wird eben genau diese Zeile zurückgeliefert.

    Gruß, Perry

    Mal im ernst, wer lässt die Adminid nach der Installation bei 1 das erste was ich Tat war die ID zu ändern und nein nicht auf 2 😉

    mfg

  3. Defender says:
    11. August 2009 um 22:44 Uhr

    „Allerdings werde ich den Aufruf hier logischerweise nicht veröffentlichen.“

    Geheimnis Geheimnis … das kriegt man in ca. 5 sec raus, wenn man google bedienen kann …

  4. A.J. says:
    12. August 2009 um 10:54 Uhr

    WordPress 2.8.4 ist da. Download. Stay safe. 🙂

  5. caschy says:
    12. August 2009 um 10:56 Uhr

    Na, wenn schon das Paket von 2.8.3 auf 2.8.4:
    http://is.gd/2ddoQ

  6. Andreas says:
    16. August 2009 um 01:13 Uhr

    Danke für den Hinweis. Super!

  7. Adam von sparideen.eu says:
    8. Mai 2010 um 00:58 Uhr

    Ich habe eben gelesen, dass die beta 2 von WordPress 3.0 ab sofort zu haben ist, falls jemand die testen will. Ein RC soll bald folgen und die finale Ausgabe soll voraussichtlich am 15.5.2010 erscheinen.

    Quelle: http://blog.wordpress-deutschland.org/2010/05/07/wordpress-3-0-hat-beta2-status-erreicht.html

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.

Umfrage des Monats

Was zahlst du pro Monat für Streaming?

View Results

Wird geladen ... Wird geladen ...

Anzeige