Mit der WordPress 3.0.4 Version wird kurz vor dem Jahresende eine erneute Sicherheitslücke geschlossen. Erst vor circa 14 Tagen wurde mit WordPress 3.0.3 ein Sicherheitsproblem behoben. Mit der aktuellen Version 3.0.4 wird somit erneut eine kritisch einzustufende Sicherheitslücke (XSS) geschlossen. Ein Update auf die aktuelle Version wird wie immer empfohlen.

(weiterlesen …)

WordPress 3.0.3 Sicherheitsupdate behebt Sicherheitsproblem beim Remote-Publishing. WordPress 3.0.3 wurde nur einige Tage nach dem Sicherheitsupdate auf WordPress 3.0.2 veröffentlicht. Bei der Version 3.0.3 handelt es sich um ein weiteres  Sicherheitsrelease. Das Update schließt eine Sicherheitslücke im XML-RPC-Remote-Publishing-Interface. Ein Update auf die aktuelle Version wird empfohlen.

WordPress 3.0.3 behebt Sicherheitsproblem beim Remote-Publishing

Durch die aktuell beseitigte Schwachstelle konnten unter bestimmten Umständen können Mitarbeiter mit den Benutzerrollen „Autor“ und „Mitarbeiter“ Beiträge bearbeiten, publizieren oder löschen. Das Problem betraf nur WordPress-Blogs, bei denen Remote-Publishing aktiviert ist. Dies wird beispielsweise benötigt, um z.B. mit einem Client Beiträge zu veröffentlichen. In den Standardeinstellungen ist die Funktion deaktiviert. (weiterlesen …)

Vor kurzem wurde das WordPress Sicherheitsrelease 2.8.6 veröffentlicht. Die Version behebt ein Problem durch das auf bestimmten Apache-Installationen Dateien wie “foto.php.jpg” als Code ausgeführt werden konnten. Weiter wurde eine XSS-Lücke geschlossen.

Ich habe soeben das aktuelle WordPress Update 2.8.6 installiert und habe dadurch nun wieder einmal mehr Sicherheit bekommen. Dann also bis zur nächsten Sicherheitslücke …

Heute wurde mit WordPress 2.8.2 ein Sicherheitsrelease veröffentlicht. Dieses Update behebt einen schwerwiegenden XSS-Exploit. Es wird allen Benutzern dringend geraten auf die neue Version zu aktualisieren Via: WordPress 2.8.2 DE-Edition und Upgradepaket

In vielen WordPress Themen findet sich eine XXS (Cross-Site-Scripting) Lücke.

Ursache des Problems ist die ungefilterte Übernahme der aufgerufenen URL zumeist in die Ausgabe von Theme-spezifischen 404-Fehlerseiten.

Ob ein Blog mit seinem Theme verwundbar ist, lässt sich etwa durch Aufruf von

http://<Blog-URL>/index.php/index.php/"<script>
alert(document.cookie)</script>

feststellen. Öffnet sich ein Alert-Fenster, ist das Theme fehlerhaft.Eine vorläufige Lösung des Problems ist, den Ausdruck

action="<?php echo $_SERVER[’PHP_SELF’]; ?>"

in den PHP-Dateien searchform.php und sidebar.php des Themas durch

action="<?php echo htmlspecialchars($_SERVER[’PHP_SELF’]); >"

zu ersetzten.

Hab den Fehler auf meinem Blog gleich mal behoben. Nun kommt kein Alert Fenster mehr

Via: heise online – XSS-Lücken in WordPress-Themes
Siehe auch: Bugtraq: WordPress All versions XSS oder Cross-Site-Scripting