Durch Zufall bin ich heute auf eine Lücke gestoßen, die wohl in so manchen Themes noch steckt. Über die Suche ist es möglich Code einzuschleusen. Das betroffene Theme war ein premium Theme für 75$ von press75.com.
Die Sicherheitslücke ist noch in dem aktuellen Theme und press75.com wurde informiert.
Zum testen die URL ausschneiden und in im Browser einfügen.
http://www.press75.com/demos/video-elements/?s=%3Cscript%3Ealert%28%27hacked%27%29;%3C/script%3E
Ursache des Problems ist die ungefilterte Übernahme der aufgerufenen URL zumeist in die Ausgabe von Theme-spezifischen 404-Fehlerseiten. Ein denkbares Angriffszenario ist, dass Angreifer per E-Mail manipulierte Links verteilen, die Opfern nach dem Anklicken falsche Informationen im Namen des verwundbaren Blogs anzeigen. So können sie beispielsweise an Log-in Cookies oder Passwörter gelangen.
Ein vorläufiger Workaround besteht jedoch darin, im Verzeichnis des verwendeten Themes – in der Regel wp-content/themes// – in den Dateien searchform.php und sidebar.php nach dem Ausdruck
action="<?php echo $_SERVER['PHP_SELF']; ?>"
zu suchen und ihn durch folgendes zu ersetzen:
action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>"
Alle Sonderzeichen werden damit durch ihre Entities ersetzt. Noch schöner wäre, WP würde gleich alle Empfangenen Daten auf Code untersuchen und sperren. Diese Bug ist bereits seit Jahren bekannt und sollte eigentlich mal bei allen Entwicklern angekommen sein. Völlig unverständlich das so etwas dann noch als Premium verkauft wird… schick ist eben nicht alles.
Pingback:Wordpress Plugin Breadcrumbs ist XSS anfällig | Dillenberg.net