{"id":153,"date":"2007-06-27T19:55:05","date_gmt":"2007-06-27T17:55:05","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/153-wordpress-security-iii"},"modified":"2009-02-18T00:36:15","modified_gmt":"2009-02-17T23:36:15","slug":"wordpress-security-iii","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/153-wordpress-security-iii","title":{"rendered":"WordPress Security III"},"content":{"rendered":"<p><a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/91775\">Heise<\/a> hat es gestern Abend nochmal zusammengefasst, ich mache das daher auch mal:<\/p>\n<p>1. L\u00fccke: Fehler in <a href=\"http:\/\/larholm.com\/2007\/06\/11\/phpmailer-0day-remote-execution\/\">PHPMailer mit Remote Code Execution<\/a> in Verbindung mit Sendmail<\/p>\n<p>2. L\u00fccke: <a href=\"http:\/\/milw0rm.com\/exploits\/4039\">SQL-Injection in xmlrpc.php<\/a>, ben\u00f6tigte jedoch einen g\u00fcltigen Account<a href=\"http:\/\/milw0rm.com\/exploits\/4039\"><br \/>\n<\/a><\/p>\n<p>3. L\u00fccke: <a href=\"http:\/\/www.buayacorp.com\/files\/wordpress\/wordpress-advisory.html\">File Upload Problem<\/a>, anscheinend nur teilweise behoben, ben\u00f6tigt jedoch ebenfalls einen g\u00fcltigen Account<\/p>\n<p>4. L\u00fccke: <a href=\"http:\/\/archives.neohapsis.com\/archives\/fulldisclosure\/2007-06\/0180.html\">Cross Site Scripting im Default Theme<\/a> von WordPress<\/p>\n<p>Also f\u00fcr meine Installation keine Schwachstellen mit hohem Risiko. Es gibt nur ein paar Benutzer mit Accounts, die sind alle pers\u00f6nlich bekannt und Sendmail kommt auch nicht zum Einsatz.<\/p>\n<p>Bisher kann ich mit WordPress gut leben. <em>Bisher<\/em>. Ich hoffe, das bleibt so.<\/p>\n<p>Ach ja, die Exploits bitte nicht gegen dieses Blog ausprobieren, ich bin l\u00e4ngst auf 2.2.1 \ud83d\ude42<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Heise hat es gestern Abend nochmal zusammengefasst, ich mache das daher auch mal: 1. L\u00fccke: Fehler in PHPMailer mit Remote Code Execution in Verbindung mit Sendmail 2. L\u00fccke: SQL-Injection in xmlrpc.php, ben\u00f6tigte jedoch einen g\u00fcltigen Account 3. L\u00fccke: File Upload Problem, anscheinend nur teilweise behoben, ben\u00f6tigt jedoch ebenfalls einen g\u00fcltigen Account 4. L\u00fccke: Cross Site [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[1,8],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/153"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=153"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/153\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=153"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=153"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=153"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}