Ich habe grade eben dieses Exploit mal laufen lassen.
Auf meinem lokalen Webserver funktioniert es (alle WP-Versionen ab 2.0)
Auf dem Webspace (all-inkl) mit WP 2.0.6 funktioniert es nicht! Und da ist es egal ob register_globals on oder off ist.

Für alle diejenigen die trotzdem auf Nummer ganz sicher gehen wollen, die können in der .htaccess register_globals ausschalten (zumindest bei Webspace von all-inkl, vgl. deren FAQ)

FYI: Es handelt sich bei der ganzen Sache nicht um eine Lücke in WordPress, sondern um eine lägst geschlossene Schwachstelle in PHP. Der milw0rm-Exploit ist lediglich auf WordPress zugeschnitten, weil man bestimmte Variablennamen kennen und die SQL-Injektion für die Anwendung maßschneidern muss.

[...] Robert Basic vom Basic Thinking hat sich die Mühe gemacht, mal nachzuforschen was genau dieser Exploit eigentlich macht und ausnutzt. [...]

[...] Das habe ich dann auch festgestellt. Wahrscheinlich durch Ausnutzung eines SQL Injection Exploits war es möglich, einem fremden WordPress Weblog ungefragt einen Artikel unterzujubeln. War also doch ein wichtiges WordPress Upgrade, dieses WP 2.06 Update. Dank Batman von der Uni Lüneburg sind wir jetzt ein bisschen schlauer. Ich muss bei Gelegenheit mal die IPs checken, nicht undenkbar, dass Batman nicht nur der Hinweisgeber in diesem Fall gewesen ist … [...]

Hier noch der dazugehörige Exploit zum testen.
Nich allzu sicher dieses WordPress :D

http://www.milw0rm.com/exploits/3109

Schau mal: http://forum.wordpress-deutsch.....hp?t=16051
Da schreibt der selbe Autor, der auch den oben zitierten Absatz geschrieben hat, folgendes.
“Hm, dann würde der Exploit womöglich doch auf 2.0.6 zu passen.”

Neuesten Infos: http://blog.punctilio.at/allge.....dpress-207