WordPress: Drei böse Sicherheitslücken!

25. Oktober 2008 | 2 Kommentare

WordPress hat gestern die Version 2.6.3 herausgegeben, nachdem Sicherheitslücken in drei Dateien bekannt wurden.

Das Schlimmste daran: Eine Sicherheitslücke betrifft das Suchformular in dem Standard-Theme Kubrick. Damit dürften auch viele andere Themes betroffen sein, die Kubrick als Ausgangspunkt genommen haben – was durchaus kein unübliches Vorgehen ist.

In der wp-content/themes/default/sidebar.php des WordPress Kubrick-Themes ist die Zeile

<?php printf(__(‚You have searched the <a href=“%1$s/“>%2$s blog archives for <strong>&#8216;%3$s&#8217;</strong>. If you are unable to find anything in these search results, you can try one of these links.‘, ‚kubrick‘), get_bloginfo(‚url‘), get_bloginfo(’name‘), get_search_query()); ?>

durch den folgenden Code auszutauschen:

<?php printf(__(‚You have searched the <a href=“%1$s/“>%2$s blog archives for <strong>&#8216;%3$s&#8217;</strong>. If you are unable to find anything in these search results, you can try one of these links.‘, ‚kubrick‘), get_bloginfo(‚url‘), get_bloginfo(’name‘), wp_specialchars(get_search_query(), true)); ?>

Damit wird ein Cross-Site Scripting über das Suchformular verhindert.

Ansonsten wird dringend ein Update der folgenden beiden Dateien empfohlen:

Bei WordPress-Deutschland.org gibt es auch eine Update-Paket von 2.6.2 auf 2.6.3.

Also, erst die beiden Dateien updaten und dann prüfen, ob Ihr vielleicht bei Euren WordPress-Themes noch die alte Zeile für das Suchformular ohne die wp_specialchars verwendet.

Ähnliche Artikel:

Meta-Daten



2 Kommentare

Auch mal Kommentieren:

Kommentar