Und da ist es wieder: SQL-Injection. Das beliebte Spiel mit den Eingabefeldern. Werfen Sie verschiedene "Daten" ein und warten sie was sie bekommen! Das beste ist, es geht nicht nur mit grafischen Oberflächen, sondern auch mit anderen Eingabemöglichkeiten. Probieren Sie es aus!
Allen die jetzt hämisch Lachen rate ich dazu dringend mal alle Schnittstellen der eigenen Anwendungen zu prüfen. In diesem Fall war die XMLRPC-Schnittstelle das Sicherheitsloch.
In Versionen vor WordPress 2.2.3 können Angreifer durch SQL-Injection-Lücken an Benutzerdaten gelangen.
Mehr dazu bei Heise.de im Artikel "WordPress 2.2.3 schließt Sicherheitslücken".
Diesmal erwischte es also WordPress. Und das nachdem ich gerade erst die Version 2.2.2 auf vier Weblogs installiert hatte! Damit meine kleinen Erweiterungen, z.B. ein wenig SQL-Tuning und eine eigene Zählung), nicht verloren geht, kann ich die neue Version nicht einfach nur drüber klatschen… 🙁