WordPress 2.8.6 stopft kritische Sicherheitslücke

Die Entwickler empfehlen Wordpress-Nutzern das Sicherheits-Update sofort zu installieren, besonders wenn Autoren auf das Backend zugreifen können, denen nicht absolut vertraut werden kann. Denn über eine der gefixten Sicherheitslücken kann sonst beliebiger PHP-Code auf dem Server ausgeführt werden.

Der PHP-Code kann aufgrund der Normalisierung der Dateinamen in Anhängen von Blogposts als Bild getarnt und hochgeladen werden. Damit wird der automatische Wordpress-Schutz zum Aufspüren potenziell gefährlicher Dateien umgangen. Wurde der getarnte PHP-Code hochgeladen, genügt eine Aufruf der URL über einen Browser und der Code wird ausgeführt. Jedoch soll dies nicht mit jeder Serverkonfiguration funktionieren. Eine Beschreibung über die Änderungen und Fixes der Version 2.8.6 können auf dem Wordpress-Blog nachgelesen werden. (mst)