Löchriges Wordpress
2. März 2006 in Internet, TechnikDurch Sicherheitslücken in Wordpress sind Cross-Site-Scripting-Attacken und ein Auslesen von Serverinformationen möglich. Mangelhaftes escapen von Kommentaren erlaubt es Usern JavaScript-Code zu posten. Es ergibt sich die Möglichkeit Cookies eines Administrators auszulesen und so zu einem Adminzugang zu kommen. Weiterhin ist es möglich den absoluten Pfad von Wordpress auszulesen weil die Dateien im Ordner includes auch von aussen aufgerufen werden können und den Pfad als Fehlermeldung ausgeben.
Vorübergehend kann man sich schützen indem man die entsprechenden Zeichen durch die Funktion htmlentities escapen lässt. Den Zugang zum includes Ordner kann man durch eine .htaccess Datei sperren.
Weitere Informationen bei heise online
Weitere Informationen vom Neo Security Team, das die Lücken entdeckt hat
Die Jungs sind ja ganz clever direkt nen passenden Exploit zu posten
Kommentar von Chris — März 2, 2006 @ 5:40 pm
Wobei es nicht so schwierig ist diese Lücke auszunutzen. Mit ein bisschen JavaScript kann man da viel anrichten. Das sowas aber auch erst jetzt auffällt. Meine Seiten checke ich eigentlich immer auf XSS.
Kommentar von Administrator — März 2, 2006 @ 8:29 pm
So, jetzt sollte bei mir wieder alles sicher sein. Mein Hoster hat das error_reporting und Directory Listing schon von Haus aus abgeschaltet. Damit ist das Problem mit wp-includes schonmal vom Tisch. Jetzt werden auch alle htmlentities escaped. Das hat den negativen Effekt, dass nicht nur JavaScript gefiltert wird sondern auch kein HTML in Kommentaren mehr möglich ist.
Es langt übrigens nicht in wp-includes ein deny from all einzubauen da dann auch keine Smileys usw. mehr funktionieren.
Kommentar von Michael — März 2, 2006 @ 9:51 pm