WordPress 2.1.3 kullanicilarinin dikkatine…

Bir iki gundur bloguma gelen web isteklerindeki anormallikleri incelerken iki gun oncesine ait bir WP aciginin kullanildigini kesfettim.
exp.jpg
wp-admin/admin-ajax.php ve buna bagli olan scriptlerdeki eksik kontroller yuzunden blogunuzun /wp-admin kismina erisebilen kotu niyetli birisi sistemdeki wp kullanicilarina ait plain md5 ciktilarini alabilir(kendi sistemimde test ettim) ve otesinde bunu kullanarak sisteme admin yetkileri ile baglanilabiliyor(mus)-test etmedim.

Cesitli undergorund sitelerde konu ile ilgili exploitler yayinlanmis durumda.

Aciktan korunma icin WP tarafindan cikarilan guncellemeler(2.2) gecilebilir.

Detayli Bilgi : http://secunia.com/advisories/25345/

webalizer’in bir gunluk sonuclarindaki admin-ajax.php hit sayisi:)
bar.PNG

Share and Enjoy:
  • Print
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Mixx
  • Google Bookmarks
  • StumbleUpon
  • Technorati
  • Twitter

Related posts:

  1. WordPress 2.6.1 de ciddi guvenlik acigi(!)
  2. Solaris Sistemlerde Ciddi guvenlik Acigi-Guncelleme
  3. Sisteminizde güvenlik açığı buldum, bu da kanıtım!
  4. Microsoft Windows DNS RPC buffer overflow acigi
  5. BlackBerry sistemlerde pdf isleme acigi