Schwachstelle in Cookie-Authentifizierung von WordPress

bueltge.de [by:ltge.de] wird von Frank Bültge geführt, administriert und gestaltet. Alle Inhalte sind persönlich von mir ausgewählt und erstellt, nach bestem Gewissen und Können, was die Möglichkeit von Fehlern nicht ausschließt.

Kommentare

  
  1. SuMu sagt:

    dann gibt es bestimmt bald wieder einen patch oder ein upgrade ...

  2. Flori sagt:

    "dann gibt es bestimmt bald wieder einen patch oder ein upgrade ..."

    was ja auch durchaus wünschenswert wäre...!

  3. Henning sagt:

    Sehe ich das richtig, dass ich diese Lücke quasi zumachen kann, indem ich den User admin lösche und einem anders benannten User Admin-Rechte gebe?

  4. @Henning: nein, der wordpressuser_ wird im Cookie übergeben, egal wie er lautet.

  5. Xel sagt:

    Das setzt dann jetzt vorraus, dass ich sowohl den Benutzer als auch den Hashwert des Passwortes kenne - oder täuscht mich das?

    Ergo kann das nur dann schief gehen, wenn jemand mindestens leseberechtigung auf meinem Blog oder einen Trojaner in meinem Rechner hat.

    Oder steh ich aufm Schlauch?

  6. Ja, so habe ich es verstanden. Wie man daran kommt, ist nicht bekannt, nach Aussage des Autors, aber es wurde nachgewiesen, dass es geht.

© 2014, since 2005 bueltge.de [by:ltge.de] · Theme is built by ThemeShift