Gestern hat ein User des deutschen WP-Forums beschrieben, wie ein beliebiger registrierter User auf Adminfunktionen, für die er eigentlich keine Rechte hat, zugreifen kann. Da es unter anderem die Einstellungen der Permalinks und die Plugins betrifft, kann er ziemlich viel Mist anstellen.

Die Lücke ist dem WordPress-Securityteam gemeldet worden.

Betroffen sind alle 2.8er Versionen und 2.7, ob noch ältere Versionen ebenfalls anfällig sind, ist unklar.

Bis ein Patch erscheint, empfiehlt es sich, die User-Registrierung abzuschalten und unbekannte User zu löschen.

Der Hack ist übrigens so einfach, dass man sich wirklich fragt, wie das durchrutschen konnte. Ich werde ihn hier nicht beschreiben, konnte ihn aber selbst erfolgreich auf meiner und anderen Installationen reproduzieren.