Stefan Esser, PHP-Security-Experte, hat kürzlich eine Schwachstelle im Zusammenhang mit der SQL Column Truncation sowie der Erzeugung von Zufallszahlen zur Verschlüsselung herausgefunden.
Wie sich gezeigt hat, ist auch das erst kürzlich in der Version 2.6.1 veröffentlichte WordPress von diesen Schwachstellen betroffen – was dazu führen kann, dass Angreifer ein funktionierendes neues Passwort für einen bereits existierenden User erzeugen könnten. Selbiges würde dem Angreifer zwar nicht ausgestellt werden, durch die Schwachstelle bei der Erzeugung der Zufallszahlen ließe es sich jedoch vorhersagen.
Ryan Boren, Lead Developer für WordPress, empfiehlt daher, zügig auf die neue Version 2.6.2 von WordPress zu updaten.
The attack is difficult to accomplish, but its mere possibility means we recommend upgrading to 2.6.2. Ryan Boren, 2008
