Wordpress XML-RPC接口非授权操作致远程安全漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-01-30
Wordpress XML-RPC接口非授权操作致远程安全漏洞 受影响系统:
WordPress WordPress 2.3.2

不受影响系统:
WordPress WordPress 2.3.3

描述:
WordPress是一款免费的论坛Blog系统。

如果启用了注册的话,WordPress的XML-RPC实现(xmlrpc.php)就无法对页面所设置的post_type执行检查,这允许远程安全者向论坛提交恶意请求更改编辑其他用户的张贴。

厂商补丁:
Debian已经为此发布了一个安全公告(DSA-1601-1)以及相应补丁:
DSA-1601-1:New wordpress packages fix several vulnerabilities
链接:http://www.debian.org/security/2008/dsa-1601

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://wordpress.org/