Ich habe mir den Code des Exploits nicht im Detail zu Gemüte geführt (und werde auch sicher nicht so bald die Zeit finden, das zu tun), aber der gestern auf milw0rm veröffentlichte Code scheint mir doch nicht ganz ungefährlich für WordPress-Blogs zu sein. Ob die aktuelle Version 2.2.3 ebenfalls betroffen ist, kann ich im Augenblick nicht feststellen, zumindest bis 2.2.2 ist die Funktionalität verifiziert.

# Tested with WordPress 2.2, 2.2.2, 2.0.5, 2.0.6, 2.1, (...), PHP/5.2.4 for
# Apache 2.0.58 on Gentoo GNU/Linux. magic_quotes on and off for the different
# exploits.

Insofern ist diese Veröffentlichung dieses Exploits sicherlich das letzte notwendige Argument, um ein Update auf die aktuelle WordPress-Version durchzuführen. Und ich vermute, die Veröffentlichung erfolgte auch nur, weil die Lücken in WP 2.2.3 inzwischen gestopft wurden. Kann sich das vielleicht mal jemand genauer anschauen?

via BlogSecurity