Drei Plug-ins für die populäre Blog-Software WordPress gefährden die Sicherheit des Systems. In myFlash, wordTube und wp-Table stecken Sicherheitslücken, mit denen ein Angreifer eigene PHP-Skripte einbinden und mit den Rechten des Webservers ausführen kann. Alle drei Plug-ins wurden von demselben Entwickler geschrieben.
Schuld ist die fehlerhafte Verarbeitung des von den Plug-ins verarbeiteten Parameters wppath in den Modulen wordtube-button.php, js/wptable-button.php und myflash-button.php. Betroffen sind wordTube bis einschließlich 1.4.3, wp-Table bis einschließlich 1.4.3 sowie myFlash bis einschließlich 1.10. Die Fehler sind in wordTube 1.4.4, wp-Table 1.4.4 und myFlash 1.11 behoben. Anwender sollten die Plug-ins so bald wie möglich aktualisieren oder deinstallieren.
Siehe dazu auch: http://www.heise.de/newsticker/meldung/89217