WordPress 2.1.3 kullanicilarinin dikkatine…
Bir iki gundur bloguma gelen web isteklerindeki anormallikleri incelerken iki gun oncesine ait bir WP aciginin kullanildigini kesfettim.
wp-admin/admin-ajax.php ve buna bagli olan scriptlerdeki eksik kontroller yuzunden blogunuzun /wp-admin kismina erisebilen kotu niyetli birisi sistemdeki wp kullanicilarina ait plain md5 ciktilarini alabilir(kendi sistemimde test ettim) ve otesinde bunu kullanarak sisteme admin yetkileri ile baglanilabiliyor(mus)-test etmedim.
Cesitli undergorund sitelerde konu ile ilgili exploitler yayinlanmis durumda.
Aciktan korunma icin WP tarafindan cikarilan guncellemeler(2.2) gecilebilir.
Detayli Bilgi : http://secunia.com/advisories/25345/
webalizer’in bir gunluk sonuclarindaki admin-ajax.php hit sayisi:)