Sicherheitslücke im Wordpress-Kommentarsystem

Ich habs schon behoben:

Ich weiß nicht ob es an meinem Wordpress liegt, aber die Sonderzeichen sehen mehr als seltsam aus.

In dem Blog-System Wordpress wurden mehrere Sicherheitslücken entdeckt, die so genanntes Cross Site Scripting (XSS) und die Preisgabe interner Serverinformationen ermöglichen, wie aus einem Advisory einer Gruppe Namens Neo Security Team hervorgeht. Durch eine unzureichende Filterung der Kommentare lässt sich JavaScript-Code in diese einbetten, der nach ihrer Freischaltung auf den Rechnern der Besucher zur Ausführung kommt. Dies ist besonders kritisch bei Wordpress-Installationen, auf denen keine Moderation erfolgt und Kommentare automatisch freigeschaltet werden. Ein unregistrierter Nutzer könnte sich auf diese Weise möglicherweise administrativen Zugang zum Blog verschaffen, wenn die manipulierten Kommentare von einem eingeloggten Administrator gelesen werden.

Heise

Vorgehensweise

Die Datei wp-comments-post.php öffnen und jeweils trim() durch htmlentities(trim()) ersetzen. Befindet sich 4× in dieser Datei, Zeile 21-24. Und so siehts dann aus:

$comment_author       = htmlentities(trim($_POST['author']));
$comment_author_email = htmlentities(trim($_POST['email']));
$comment_author_url   = htmlentities(trim($_POST['url']));
$comment_content      = htmlentities(trim($_POST['comment']));</code>

Das könnte dich auch interessieren

12 Kommentare zu »Sicherheitslücke im Wordpress-Kommentarsystem«

Kommentar-Feed

HorstScheuer.net &raquo; Blog Archiv &raquo; Sicherheitslücke in Wordpress am 02.03.2006: #

[...] Na Prima! Dieser Wordpress-Blog gibt es erst seit einigen Stunden und schon muss ich etwas über Sicherheitslücken lesen. (siehe hier und hier). Es ist angeblich möglich über die Kommentarfunktion JavaScript-Code einzuschleusen. Haben die ihre Scripte nicht abgesichert? Da war ja meine alte Eigenentwicklung besser. Jedenfalls gibt es auch ein Hack dazu. Michel Balzer erklärt die Änderung sehr gut! [...]

Horst Scheuer am 02.03.2006: #

Na toll! Und ich habe bin eben zu Wordpress gewechselt!

Michel Balzer am 02.03.2006: #

Oh, das ist natürlich bitter.

Tom S. Weber am 02.03.2006: #

Danke für den guten Tipp!!

Michel Balzer am 02.03.2006: #

Super, spinnen jetzt die Sonderzeichen?
äöü

Markus Trapp am 03.03.2006: #

Danke für die praktische Anleitung. Und als Gegenleistung ein kleiner Sonderzeichentest:
¡España!
Funktioniert doch, oder?

Michel Balzer am 03.03.2006: #

Funktionieren würde ich das nicht nennen. Da sind zwar Sonderzeichen, aber sehr au�ergewöhnliche und wahrscheinlich nicht die, die es sein sollten ;)

Michel Balzer am 03.03.2006: #

Hab mal was geändert, hab htmlentities bei $comment_content entfernt.

ÄÖÜäöüß&

der_simon am 03.03.2006: #

Kleiner Tipp wie es mit den Umlauten (jedenfalls bei mir) wieder funktioniert. :)

Der Simon

Michel Balzer am 03.03.2006: #

Danke für den Tipp. Werd ich im Laufe des Tages mal einbauen.

Markus Trapp am 04.03.2006: #

Nochmal ein kleiner Test, ob's diesmal klappt:
¡España!
Hatte gestern geschrieben "Funktioniert doch...", weil die Anzeige während des Schreibens korrekt erfolgte, und die Sondernzeichen (das berühmte n mit Tilde und das umgedrehte Ausrufezeichen am Wortbeginn) erst nach dem Absenden so schräg dargestellt wurden.
Falls du den Tipp von Simon schon eingebaut hast, sieht es jetzt vielleicht besser aus?!

Michel Balzer am 04.03.2006: #

Ne, hab ich noch nicht eingebaut, hab das htmlentities wieder rausgeschmissen. So wie ich das verstanden habe, ist das kein lebensbedrohlicher Fehler und es klappt nur, wenn man den bösen Code als Admin einfügt.

Außerdem wird <script></script> eh rausgeschmissen, soweit ich weiß. Außer, man ist als Admin eingeloggt. (Hab das da jetzt mit lt und gt eingefügt ;))

Kommentarfunktion für diesen Artikel geschlossen.