Es gibt ein ernsthaftes Problem mit dem Wordtube-Plugin von Alex Rabe. Durch eine Lücke im Plugin lässt sich schadhafter Code einschleusen.
Damit lassen sich zum Beispiel auch Wordpress- aber auch FTP-Passworte auslesen.
Der Exploit wurde erst gestern von einem australischen Hacker veröffentlicht und noch am gleichen Tag wurden die ersten Weblogs, die Wordtube einsetzen, defaced.
Daher ein dringender Aufruf an alle Benutzer des Wordtube-Plugins: Das Plugin deaktivieren, besser noch löschen, Passworte für Wordpress und FTP ändern.
Ein Kommentar
Nee – nicht “besser noch löschen” – definitiv löschen, oder in wp-content/plugins/wordtube eine .htaccess mit dem Inhalt “Deny from all” legen. Wenn es deaktiviert ist, können trotzdem noch die Dateien direkt angesprochen werden. Das Exploit klappt dann weiterhin.
3 Trackbacks
[...] es schnellstmöglich deaktivieren und aus dem Pluginordner löschen! Wie ich gerade bei Andreas gelesen habe, gibt es im Plugin eine gefährliche Sicherheitslücke. Durch eine Lücke [...]
[...] Alex Rabe, mit dem man Videos und Musik als Flash-Player in seinem Blog einbauen kann. Andreas von glück auf! schreibt hierzu: Es gibt ein ernsthaftes Problem mit dem Wordtube-Plugin von Alex Rabe. Durch eine [...]
[...] benutzt. Das betroffene PlugIn war WordTube von Alex Rabe. Anfang Mai wurde auch schon auf einigen Sites und Blogs über dieses Problem berichtet. Durch diese Sicherheitslücke konnten Angreifer [...]