Neue Woche – Neues Loch. Über die WordPress Kommentar Funktion kann laut klikki.fi ein nicht angemeldeter Benutzer JavaScript in die WordPress Kommentare einschleusen. Diese Skripte werden dann ausgeführt, sobald der Kommentar gelesen wird. Wenn die Ausführung durch einen eingeloggten Administrator geschieht,…
Schlag auf Schlag geht es weiter. Gerade kommt die Mitteilung, dass ALLE WordPress Versionen eine XSS Verwundbarkeit haben. Dadurch kann es anonymen Nutzern gelingen eine Seite zu kompromittieren. Diese Lücke – sowie 3 weitere Lücken – werden mit dem WordPress…
Zuerst die Yoast Lücke – dann folgte Jetpack.. Nun sieht es so aus, dass diese Plugins verwundbar sind, weil sie die Funktionen add_query_arg() und remove_query_arg() fehlerhaft nutzen. Diese Funktionen sind bei Entwicklern von WordPress sehr beliebt. Offensichtlich ist es so,…
Im WordPress Plugin ‚Jetpack‘ von Automattic gibt es ein kritisches Sicherheitsproblem – darüber informiert ein Newsletter von Jetpack. Laut Sucuri gibt es ein Problem mit ‚improperly escaped URLs‘. Leider sind weder der verlinkte Sucuri Blog Eintrag, noch der verlinkte Jetpack Eintrag…
Wenn ihr ein Blog betreibt, dann ist das schreiben der Einträge die eine Seite, die andere Seite sind die technischen Grundvoraussetzungen welche ihr erfüllen solltet. Wie installieren, was installieren, welche Plugins & Themes etc. Ein drittes Thema ist dann die…
Die Security Jungs von Sucuri berichten von einer schweren Sicherheitslücke im beliebten WP Plugin WP-Super-Cache. Durch eine XSS Lücke ist es Angreifern möglich, über eine spezielle Abfrage, Schadcode an das Plugin zu übermitteln. Der Administrator müsste dann zwar tätig werden, damit der Exploit…