Im Artikel WordPress 2.8.1 Beta 1 haben wir schon davon berichtet, dass in WordPress 2.8.1 das Problem behoben wird, dass die Überprüfung von Benutzerrechten bei Pluginoptionen bisher nicht sicher ist.
Die Firma Core Security berichtet nun von dieser Sicherheitslücke (siehe auch heise-Meldung):
Angemeldete Benutzer könnten, obwohl sie nicht ausreichend Rechte besitzen, auf die Optionsseiten diverser Plugins zugreifen, da die entsprechende Funktion zur Überprüfung fehlerhaft ist.
Diese Sicherheitslücke ist in allen WordPress-Versionen einschließlich 2.8 enthalten.

Gegenmaßnahmen: Wenn nicht zwingend notwendig, sollte die Option “Jeder kann sich registrieren.” deaktiviert werden! Ist die Option bisher aktiv, sollte überprüft werden, welche Benutzer im Blog vorhanden sind und ob deren Mitgliedschaft notwendig ist.
Die Lücke wird zudem in WordPress 2.8.1 behoben werden.
Wir wissen noch nicht, wann WordPress 2.8.1 in finaler Version erscheinen soll, aber es wird sicherlich bald soweit sein, da die Version schon im Release Candidate-Status ist.
Update: WP 2.8.1 wurde so eben veröffentlicht. Die DE-Edition wird gerade fertiggestellt.