wordpress

WordPress – die Wahrheit hinter der 4.2 Emoji Unterstützung

Hier ein sehr interessanter (sehr technischer) Mitschnitt von einer Präsentation von Andrew Nacin, seines Zeichens WordPress Lead Developer,  über die wahren Gründe der Emoji Unterstützung mit Version 4.2. Kurz gesagt, geht es um 1000+ Zeilen neuen Code im Datenbank Abstraktions Layer von wordpress in wp-db.php – diese Zeilen sind seit Januar im Trunk, die offizielle…

Weiterlesen
security

Sicherheit: Yet Another Related Posts Plugin (YARPP) 4.2.4 mit Lücke

Hier eine Warnung für das YARPP Plugin Version 4.2.4 – dieses Plugin kann ohne gültigen Token upgedatet werden. Diesen Umstand kann ein Angreifer nutzen, um einen Webseiten Administrator zu verleiten über den Aufruf einer bösartigen Seite, die YARPP Optionen zu ändern. Einige der Optionen erlauben HTML, dadurch kann der Angreifern dann bösartigen Javascript einschleusen. Dieser…

Weiterlesen
wordpress

WordPress 4.1.5 und 4.2.2 sind erschienen

Soeben wurden neue Updates für WordPress veröffentlicht, es handelt sich um die Versionen 4.1.5 und 4.2.2. Das Update 4.1.5 schließt die XSS Lücke bezüglich des Genericons Paketes, außerdem wird ein Fix für die XSS Anfälligkeit verbessert welcher in Version 4.1.4 ausgerollt wurde. Desweiteren werden noch 3 Fehler aus 4.1.4 geschlossen. Alles über die Version findet ihr…

Weiterlesen
security

Security: JetPack Plugin und TwentyFifteen Theme mit Sicherheitslücke

Es tut sich eine neue Lücke auf – dieses mal sind das TwentyFifteen Theme, standardmäßig in WordPress Installationen enthalten, sowie das Jetpack Plugin betroffen. Genauer gesagt geht es um das hier enthaltene genericons Paket, welches laut Sucuri anfällig für einen DOM-basierten XSS Angriff ist. Schuld hieran ist die Datei example.html, welche hier enthalten ist. Das Problem bei…

Weiterlesen
security

Sicherheit: WordPress 4.2 Stored XSS Lücke

Neue Woche – Neues Loch. Über die WordPress Kommentar Funktion kann laut klikki.fi ein nicht angemeldeter Benutzer JavaScript in die WordPress Kommentare einschleusen. Diese Skripte werden dann ausgeführt, sobald der Kommentar gelesen wird. Wenn die Ausführung durch einen eingeloggten Administrator geschieht, dann kann der Angreifer die Lücke nutzen um beliebigen Code auf dem Server auszuführen (Admin…

Weiterlesen
security

Sicherheit: WordPress 4.1.2 stopft Loch in allen WordPress Version

Schlag auf Schlag geht es weiter. Gerade kommt die Mitteilung, dass ALLE WordPress Versionen eine XSS Verwundbarkeit haben. Dadurch kann es anonymen Nutzern gelingen eine Seite zu kompromittieren. Diese Lücke – sowie 3 weitere Lücken – werden mit dem WordPress 4.1.2 Security Release gepatcht. Ihr solltet also DRINGEND alle euer Dashboard besuchen und ein Update…

Weiterlesen
security

Sicherheit: Viele WordPress Plugins von XSS Lücke betroffen

Zuerst die Yoast Lücke – dann folgte Jetpack.. Nun sieht es so aus, dass diese Plugins verwundbar sind, weil sie die Funktionen add_query_arg() und remove_query_arg() fehlerhaft nutzen. Diese Funktionen sind bei Entwicklern von WordPress sehr beliebt. Offensichtlich ist es so, dass der WordPress Codex diese Funktionen nicht klar beschreibt und daher viele Entwickler diese auch…

Weiterlesen