Das WP-Plugin Stats von Automattic weist u.a. laut BlogSecurity in den aktuell recht verbreiteten Versionen 1.0 und 1.1 ein Sicherheitsproblem auf.
Es ist ein SQL-Inject möglich, wenn eine User-ID bekannt ist, so dass dann die Daten anderer User ausgelesen werden können. Näheres ist hier nachzulesen und ein Update auf die berichtigte Version 1.1.1 sollte man daher in Angriff nehmen …
Kommentare