XSS-Sicherheitslücke in WP-Themes ermöglicht Ausspähen von Userdaten

WordpressEinige beliebte Themes für WordPress weisen eine so genannte XSS-Lücke auf, die Angreifer übers Netz unter Umständen zum Ausspähen von vertraulichen Anwenderdaten nutzen können. Laut einem Posting auf der Sicherheits-Mailingliste Bugtraq betrifft das Problem alle WordPress-Versionen einschließlich der aktuellen Version 2.1.3. Es tritt jedoch nur bei Verwendung bestimmter Themes zu Tage:

  • WordPress Standard-Theme
  • k2 Theme
  • Classic Theme
  • Hiperminimalist Theme

Ursache des Problems ist die ungefilterte Übernahme der aufgerufenen URL zumeist in die Ausgabe von Theme-spezifischen 404-Fehlerseiten. Ein denkbares Angriffszenario ist, dass Angreifer per E-Mail manipulierte Links verteilen, die Opfern nach dem Anklicken falsche Informationen im Namen des verwundbaren Blogs anzeigen. So können sie beispielsweise an Log-in Cookies oder Passwörter gelangen.

Ein Beispiel eines solchen Aufrufes wäre z.B.
http://<Blog-URL>/index.php/“><script>alert(document.cookie)</script>.

Zwar gibt es noch keine offiziellen Updates für die betreffenden Themes, mit folgendem Workaround hat man jedoch die Möglichkeit, die Lücke zu schließen. Dazu im Verzeichnis des verwendeten Themes – in der Regel wp-content/themes/<Theme-Name>/ – in den Dateien searchform.php und sidebar.php nach folgenden Ausdrücken suchen:

  1. Bei allen Themes in der searchform.php:
    action="<?php echo $_SERVER['PHP_SELF']; ?>"
    und ersetzten durch:
    action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>"
  2. Nur bei k2 Themes in der sidebar.php:
    action="<?php echo $_SERVER['PHP_SELF']; ?>"
    und ersetzten durch:
    action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>"

Dies rüstet für die Ausgabe die zusätzliche Filterfunktion htmlspecialchars() nach und verhindert die Ausnutzung der Schwachstelle.

Der Beitrag wurde am Dienstag, den 8. Mai 2007 um 09:16 Uhr veröffentlicht und wurde unter Wordpress abgelegt. Du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. Du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.

Diesen Beitrag kommentieren

Hinweis: Wegen des stetig zunehmenden Kommentar-Spams, lasse ich keine Links mehr zu, welche nicht zur Blogsphäre gehören. Jegliche Form werblicher Kommentare, zu Shops oder Shop-Kategorien, Portalen oder MFA-Seiten (Made for AdSense) sind hier unerwünscht. Als Name bitte den Vor- und/oder Nachnamen bzw. den Nickname verwenden. Keywords und selbstverständlich die zugehörigen Links, welche offensichtlich nur dem Suchmaschinenranking dienen, werden umgehend gelöscht.






Validate XHTML Validate CSS