Ich habs schon behoben:

Ich weiß nicht ob es an meinem WordPress liegt, aber die Sonderzeichen sehen mehr als seltsam aus.

In dem Blog-System WordPress wurden mehrere Sicherheitslücken entdeckt, die so genanntes Cross Site Scripting (XSS) und die Preisgabe interner Serverinformationen ermöglichen, wie aus einem Advisory einer Gruppe Namens Neo Security Team hervorgeht. Durch eine unzureichende Filterung der Kommentare lässt sich JavaScript-Code in diese einbetten, der nach ihrer Freischaltung auf den Rechnern der Besucher zur Ausführung kommt. Dies ist besonders kritisch bei WordPress-Installationen, auf denen keine Moderation erfolgt und Kommentare automatisch freigeschaltet werden. Ein unregistrierter Nutzer könnte sich auf diese Weise möglicherweise administrativen Zugang zum Blog verschaffen, wenn die manipulierten Kommentare von einem eingeloggten Administrator gelesen werden.

Heise

Vorgehensweise

Die Datei wp-comments-post.php öffnen und jeweils trim() durch htmlentities(trim()) ersetzen. Befindet sich 4× in dieser Datei, Zeile 21-24. Und so siehts dann aus:

$comment_author       = htmlentities(trim($_POST['author']));
$comment_author_email = htmlentities(trim($_POST['email']));
$comment_author_url   = htmlentities(trim($_POST['url']));
$comment_content      = htmlentities(trim($_POST['comment']));</code>

6 thoughts on “Sicherheitslücke im WordPress-Kommentarsystem

  1. […] Na Prima! Dieser WordPress-Blog gibt es erst seit einigen Stunden und schon muss ich etwas über Sicherheitslücken lesen. (siehe hier und hier). Es ist angeblich möglich über die Kommentarfunktion JavaScript-Code einzuschleusen. Haben die ihre Scripte nicht abgesichert? Da war ja meine alte Eigenentwicklung besser. Jedenfalls gibt es auch ein Hack dazu. Michel Balzer erklärt die Änderung sehr gut! […]

Comments are closed.