24. Oktober 2008, Alex Günsche
Jaja, es ist wieder Zeit zu mosern: Kurz nachdem WP 2.6.3 erschienen ist, wurde es notwendig, eine weitere potentielle Lücke zu beheben; diese betrifft aber nur die Benutzer des default-Themes — wobei nicht auszuschließen ist, dass das eine oder andere Theme diesen Fehler übernommen hat. Es handelt sich um ein XSS-Problem in der Datei sidebar.php.
Ganz konkret geht es um folgenden Code (Zeile 33 in 2.6.3):
get_search_query()
Er muss durch den folgendes ersetzt werden:
wp_specialchars(get_search_query(), true))
Glücklicherweise reicht es aus, entweder den Code wie beschrieben zu ändern oder die Datei /wp-content/themes/default/sidebar.php gegen die neueste Version auszutauschen.
Um jedoch Missverständnisse auszuschließen, haben wir die vorhin veröffentlichte Version 2.6.3 zurückgezogen und stattdessen die Version 2.6.3-r1 veröffentlicht (betrifft nur de.wordpress.org).
Vielen Dank an Olaf für den Hinweis.
3 Kommentare24. Oktober 2008, Alex Günsche
Es ist ein Sicherheitsproblem der HTTP-Bibliothek Snoopy, die WordPress benutzt, um externe Inhalte zu holen, bekannt geworden. Die WP-Entwickler schätzen diese Lücke zwar als wenig gefährlich für WordPress-Benutzer ein, dennoch haben sie sicherheitshalber die neue Version 2.6.3 gebaut, in der das Problem behoben ist (sonst gibt es keine Neuerungen). Die deutsche Version ist hiermit auch verfügbar. Alternativ zum “normalen” Upgrade kann man auch einfach die Dateien /wp-includes/class-snoopy.php und /wp-includes/version.php ersetzen.
3 Kommentare