Wördpress des tages

Nachtrag: der fix ist draußen, also los! Er hat bei mir kein einziges problem gemacht, außer die probleme, die WP 4.2 sowieso schon macht. (Aber der emoji-müll ist wenigstens kein sicherheitsproblem.)

In der aktuellen versjon 4.2 (und auch in den vorherigen versjonen) von wördpress ist eine interessante XSS-lücke: es ist möglich, durch verfassen eines überlangen kommentares javascript im blog abzusetzen, das ausgeführt wird, wenn dieser kommentar angeschaut wird. Ja, es reicht dafür völlig, einen kommentar zu schreiben. Und ja, damit kann das blog pwnen, wenn der kommentar von jemanden angeschaut wird, der gerade an wördpress angemeldet ist.

Die lücke ist übel, weil sie relativ leicht auszunutzen ist. Demnächst heißt es also wieder: fix installieren!

(Mann, wie mich die ganze javascript-kacke immer ankotzt!)

12 Antworten zu “Wördpress des tages

  1. Hat das jemand selbst getestet?

    Hier auf wordpress.com funktionierts jedenfalls nicht. Wenn ich einen Kommentar abschicke, bleibt nur ein „<a></a>“ übrig. Und auf 4.2 ist die Kommentarlänge 16MB (mediumtext).

    • Ich habe das schnell in meinem lokalen strokelpress — das war aber noch kein 4.2 — ausprobiert, und da klappte der XSS-angriff prinzipjell. Vermutlich haben die bei wordpress.org einen ganz schnell gestrickten fix gemacht, um massenhaftes pwnen an einer für angreifer hochlukrativen stelle zu unterbinden. In kürze wirds auch für die selbsthoster eine neue versjon geben, wenn das problem dort ausbeutbar ist, da bin ich mir ganz sicher…

      Hui, 16 MB… viel platz für kommentatoren mit mitteilungsbedürfnis. 😉

  2. Ganz große Klasse. Zum Glück habe ich die WürgPress Installationen die ich betreue noch nicht geupgraded. Man sollte den Entwicklern dieser Software mal erklären wie man die strip_tags() Funktion verwenden kann.
    Es wird Zeit, dass man diesen verbuggten Bloatware Schrotthaufen endlich durch etwas ersetzt, was funktioniert!
    Aber Hauptsache Emojis, Twitter-Integration und „PressThis“.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.