WordPress Security Update auf Version 4.3.1 und 4.2.5 erschienen

WordPress Security Update auf Version 4.3.1 und 4.2.5 erschienen

Soeben erschienen ist Version 4.3.1 (4.2.5, 4.1.8, etc) von WordPress. Dieser Version schließt eine XSS Lücke beim bearbeiten von Shortcode Tags (CVE-2015-5714), welcher von Shanar Tal und Netanel Rubin von Check Point gemeldet wurde. Die Beiden haben auch eine weitere Lücke gefunden, hier war es Benutzern möglich, private Einträge zu posten und diese fest zu…

Security: JetPack Plugin und TwentyFifteen Theme mit Sicherheitslücke

Security: JetPack Plugin und TwentyFifteen Theme mit Sicherheitslücke

Es tut sich eine neue Lücke auf – dieses mal sind das TwentyFifteen Theme, standardmäßig in WordPress Installationen enthalten, sowie das Jetpack Plugin betroffen. Genauer gesagt geht es um das hier enthaltene genericons Paket, welches laut Sucuri anfällig für einen DOM-basierten XSS Angriff ist. Schuld hieran ist die Datei example.html, welche hier enthalten ist. Das Problem bei…

Sicherheit: Viele WordPress Plugins von XSS Lücke betroffen

Sicherheit: Viele WordPress Plugins von XSS Lücke betroffen

Zuerst die Yoast Lücke – dann folgte Jetpack.. Nun sieht es so aus, dass diese Plugins verwundbar sind, weil sie die Funktionen add_query_arg() und remove_query_arg() fehlerhaft nutzen. Diese Funktionen sind bei Entwicklern von WordPress sehr beliebt. Offensichtlich ist es so, dass der WordPress Codex diese Funktionen nicht klar beschreibt und daher viele Entwickler diese auch…