Skocz do zawartości

Luka w wordpressie?

chaos_code

Przez chaos_code
w Pogaduszki

Rekomendowane odpowiedzi

chaos_code Newbie

chaos_code

Opublikowano
Opublikowano

Wordpress 2.1.3.

Kilka dni temu zarejestrował mi się na wordpressie użytkownik: Cheesey (mail z o2.pl).

Dzisiaj koło południa napisałem sobie dwa posty.

Przed chwilą wchodzę patrzę, user Cheesey napisał dwa posty. Mówię fajnie.

Tyle, że to były moje posty...

Dla testu napisałem jeszcze jeden post. Znów jako autor widnieje Cheesey.

Stworzyłem dla próby nowego usera. Nowy post i znów autor Cheesey.

Posty przed rejestracją Che... pozostały bez zmian.

Miałem tam tylko swoje posty, ale jakby tak więcej ludzi coś w międzyczasie napisało, to się może niezły bałagan narobić...

A co gorsza, skoro można zmienić autora, to i przejechanie się po tekście nie będzie problemem. :rolleyes:

Oczywiście domyślny user, to Contributor. I Che... również widniał jako taki.

Wtyczki zainstalowane seo title tag i u warrior3

Sytuacja zaistniała na jednym z moich dwóch blogów.

Czy u kogoś pojawił się może podobny problem?

Nie tylko dla googla, ale i dla ludzi. Fantastyczny precel. Fantastyka i literatura.

Nowy precel: Tworzenie stron wwwl. - moderowany, solidny. Zapraszam. :)

Odnośnik do komentarza
Udostępnij na innych stronach
chaos_code Newbie

chaos_code

Opublikowano
  • Autor
Opublikowano

Mam nadzieję, choć z drugiej strony na drugim blogu ma taki sam zestaw wtyczek i jest ok.

Usunąłem tego usera. Zarejestrowałem nowego i wszytko działa jak powinno.

Może ja coś namieszałem, ale nie wiem...

Nie tylko dla googla, ale i dla ludzi. Fantastyczny precel. Fantastyka i literatura.

Nowy precel: Tworzenie stron wwwl. - moderowany, solidny. Zapraszam. :)

Odnośnik do komentarza
Udostępnij na innych stronach
chaos_code Newbie

chaos_code

Opublikowano
  • Autor
Opublikowano

A czy taki sam użytkownik?

Samą zmianę autora (jeśli prowadzimy luźnego precla), faktycznie można olać.

Problemem raczej jest źródło takiego zajścia i dalsze konsekwencje.

Niewiem jak tam z podkradaniem się w session id, ale czy w to by się bawił?

Też nie specjalnie wiem po co ktoś miałby się w to bawić.

Ani jak ma się sprawa zabezpieczeń w wordpressie.

Czy tylko id_session, czy dodatkowe informacje jak choćby przeglądarka, system.

Ale jeśli ktoś zwinął by mi sesję, to mogłem już nie być adminem.

Myślę, że to raczej nie przejęcie sesji, bardziej jakaś luka, ale kto wie.

Nie tylko dla googla, ale i dla ludzi. Fantastyczny precel. Fantastyka i literatura.

Nowy precel: Tworzenie stron wwwl. - moderowany, solidny. Zapraszam. :)

Odnośnik do komentarza
Udostępnij na innych stronach

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności