WordPress hat gestern die Version 2.6.3 herausgegeben, nachdem Sicherheitslücken in drei Dateien bekannt wurden.

Das Schlimmste daran: Eine Sicherheitslücke betrifft das Suchformular in dem Standard-Theme Kubrick. Damit dürften auch viele andere Themes betroffen sein, die Kubrick als Ausgangspunkt genommen haben - was durchaus kein unübliches Vorgehen ist.

In der wp-content/themes/default/sidebar.php des WordPress Kubrick-Themes ist die Zeile

<?php printf(__(’You have searched the <a href=”%1$s/”>%2$s blog archives for <strong>&#8216;%3$s&#8217;</strong>. If you are unable to find anything in these search results, you can try one of these links.’, ‘kubrick’), get_bloginfo(’url’), get_bloginfo(’name’), get_search_query()); ?>

durch den folgenden Code auszutauschen:

<?php printf(__(’You have searched the <a href=”%1$s/”>%2$s blog archives for <strong>&#8216;%3$s&#8217;</strong>. If you are unable to find anything in these search results, you can try one of these links.’, ‘kubrick’), get_bloginfo(’url’), get_bloginfo(’name’), wp_specialchars(get_search_query(), true)); ?>

Damit wird ein Cross-Site Scripting über das Suchformular verhindert.

Ansonsten wird dringend ein Update der folgenden beiden Dateien empfohlen:

• wp-includes/class-snoopy.php
• wp-includes/version.php

Bei Wordpress-Deutschland.org gibt es auch eine Update-Paket von 2.6.2 auf 2.6.3.

Also, erst die beiden Dateien updaten und dann prüfen, ob Ihr vielleicht bei Euren WordPress-Themes noch die alte Zeile für das Suchformular ohne die wp_specialchars verwendet.

Meta-Daten

Autor: undkonsorten, Thomas Alboth
Tags+Kategorien: Sicherheit, Update, WordPress + CMS, WordPress