Andrea informed BlogSecurity earlier today of a Blogroll Spam vulnerability that is being exploited in the wild that may allow an attacker to flood your blogroll with any number of spam links.
This vulnerability affects previous versions of WordPress. To our knowledge this is the first public vulnerability for WordPress 2.3 Dexter.
The "wp-admin/link.php" script does not check the permissions of the user before adding a new Blogroll link. A fixed links.php file has been made available which addresses the problem and is available here.
Backup your link.php file and then replace it with the patched version found at the above link. The fixed version adds this simple code change:
if ( ! current_user_can('manage_links') )
wp_die( __('You do not have sufficient permissions
to edit the links for this blog.') );
WordPress BlogWatch will be updated shortly to reflect this new vulnerability.
Comments
The file is to be found as “wp-admin/link.php”, not “wp-admin/links.php”.
[...] ich gerade auf Blogsecurity.net lese, gibt es einen massiven Bug in Wordpress. Für das Management der Blogroll ist die [...]
Marnem, thanks for that, the post has been corrected.
[WordPress] Erster Exploit für 2.3…
So alt ist die Version 2.3, aka Dexter, von WordPress noch garnicht, da gibt es schon den ersten Exploit.
[...] Via Blogsecurity.net. [...]
[...] dank Sicherheitslücke. [...]
[...] to the guys over at blogsecurity I now know that there is a new vulnerability for wordpress in the wild. The [...]
[...] First WP 2.3 Dexter Vulnerability Das hat ja diesmal lange gedauert… [...]
[...] Informationen unter: Blogsecurity.net addthis_url = ‘http%3A%2F%2Fwww.just-ronni.de%2Fsicherheitsluecke-in-wordpress-23-dexter%2F’; [...]
[...] Sicherheitslücke in Wordpress durch die sich die Blogroll zuspammen lässt. Das ist mal eine witzige Sicherheitslücke. Zumindest [...]
[...] Enlace relacionado: http://blogsecurity.net/wordpress/first-wp-23-dexter-vulnerability/ [...]
[...] la noticia en varios blogs que visito a diario (I II III IV V) sobre una nueva vulnerabilidad que afecta a todas las versiones de Wordpress incluida [...]
[...] ist eine neue Lücke in Wordpress aufgetaucht, die es möglich macht, dass fremde Links in die Blogroll eingebaut [...]
[...] Weitere Informationen zum Thema findet ihr hier. [...]
[...] Eine Sicherheitslücke in Wordpress wurde entdeckt, mit der sich die Blogroll erweiteren läßt. [...]
[...] vulnerability is already being exploited by spammers. An explanation and a fixed file can be found here until a new point release of Wordpress is available. This issue apparently also affects older [...]
[...] habe ich hier und hier über eine Sicherheitslücke in der Blogroll Funktion von Wordpress, welche gehandelt wird [...]
[...] 修正了链接导入的安全漏洞 [...]
[...] 修正了链接导入的安全漏洞 [...]
[...] endlich die “wp-admin/link.php” gegen den Exploid, der bereits vor einigen Tagen auf BlogSecurity bekannt gemacht worden war, abgesichert. Die komplette Liste ist hier [...]
[...] dazu und die Lösung des Problems gibt es bei Blogsecurity. [...]
-
Search site:
-
-
Sponsors
Additional WP Resources
