Angreifer können Passwörter von WordPress-Nutzern zurücksetzen

Die WordPress-Entwickler haben Version 2.6.2 vorgelegt und raten aus Sicherheitsgründen dringend zu einem Update des Systems. Durch einen Fehler bei der Übergabe von Parametern an die Datenbank (SQL Column Truncation) ist es nämlich möglich, mit bestimmten Namen bei der Registrierung für einen Blog die Passwörter anderer Nutzer auf einen zufälligen Wert zurückzusetzen. Zwar hat ein Angreifer damit noch nicht viel gewonnen, da er die Passwörter nicht einsehen kann. Durch eine Schwachstelle in der Funktion mt_rand soll das pseudozufällig angelegte Passwort aber erheblich leichter zu erraten sein – der gesamte Angriff aber dennoch relativ komplex sein.

Quelle: heise.de

Den ganzen Artikel finden Sie hier.

Schreibe einen Kommentar