Nachtrag: der fix ist draußen, also los! Er hat bei mir kein einziges problem gemacht, außer die probleme, die WP 4.2 sowieso schon macht. (Aber der emoji-müll ist wenigstens kein sicherheitsproblem.)
In der aktuellen versjon 4.2 (und auch in den vorherigen versjonen) von wördpress ist eine interessante XSS-lücke: es ist möglich, durch verfassen eines überlangen kommentares javascript im blog abzusetzen, das ausgeführt wird, wenn dieser kommentar angeschaut wird. Ja, es reicht dafür völlig, einen kommentar zu schreiben. Und ja, damit kann das blog pwnen, wenn der kommentar von jemanden angeschaut wird, der gerade an wördpress angemeldet ist.
Die lücke ist übel, weil sie relativ leicht auszunutzen ist. Demnächst heißt es also wieder: fix installieren!
(Mann, wie mich die ganze javascript-kacke immer ankotzt!)
Erwähnte ich schon, dass ein Umstieg auf Nicht-WordPress allmählich reizvoll erscheint?
Hat das jemand selbst getestet?
Hier auf wordpress.com funktionierts jedenfalls nicht. Wenn ich einen Kommentar abschicke, bleibt nur ein „<a></a>“ übrig. Und auf 4.2 ist die Kommentarlänge 16MB (mediumtext).
Ich habe das schnell in meinem lokalen strokelpress — das war aber noch kein 4.2 — ausprobiert, und da klappte der XSS-angriff prinzipjell. Vermutlich haben die bei wordpress.org einen ganz schnell gestrickten fix gemacht, um massenhaftes pwnen an einer für angreifer hochlukrativen stelle zu unterbinden. In kürze wirds auch für die selbsthoster eine neue versjon geben, wenn das problem dort ausbeutbar ist, da bin ich mir ganz sicher…
Hui, 16 MB… viel platz für kommentatoren mit mitteilungsbedürfnis. 😉
Hey, meinst Du mich?! LoL
Oder eher Dich? Du musst ja auch wirklich so gut wie alles „kommentieren“ ;p
Oder kommt mir das nur so vor?! Wers weiss wirds wissen! 😀
Gez. der Freche Michel LoL
Halt doch mal die Klappe. Du nervst.
Küsschen.
LoL
Und Du nervst auch….
Küsschen ❤
Luv fly out to Michael you music is second to none!
Ganz große Klasse. Zum Glück habe ich die WürgPress Installationen die ich betreue noch nicht geupgraded. Man sollte den Entwicklern dieser Software mal erklären wie man die strip_tags() Funktion verwenden kann.
Es wird Zeit, dass man diesen verbuggten Bloatware Schrotthaufen endlich durch etwas ersetzt, was funktioniert!
Aber Hauptsache Emojis, Twitter-Integration und „PressThis“.
PressThis geht doch schon ewig.
Fix ist da: https://wordpress.org/news/2015/04/wordpress-4-2-1/
Jaou, ich habe ihn auch gerade gesehen. Die wördpress-entwickler scheinen sich in dieser sache nicht gerade mit ruhm bekleckert zu haben.