Sidebar
ein-/ausblenden

Plugin WP-FeedStats in neuer Version

Plugin für WordPress SEO

Anzeige

Das Plugin WP-FeedStats hatte wohl eine Sicherheitslücke, die ich allerdings nicht nachvollziehen kann. Auf meinen Testservern kann ich keine Scripte injizieren. Ich habe nun alle Ausgaben des Plugins mit der Funktion htmlspecialchars versehen, so dass es theoretisch nicht mehr möglich ist, Zeichen für Code zu übergeben.

Ich habe mehrere Tests gefahren - ohne Erfolg. Vielleicht ist ein Leser unter euch, der sich wesentlich besser mit dem injizieren von Webseiten auskennt. Schön wäre es, wenn sich einige Tester finden und mir mal eine Information zukommen lassen. Ebenso habe ich Blogsecurity eine Version zukommen lassen, bisher leider unbeantwortet - aber ich denke, David wird sich nochmal zu einem Test hinreisen lassen.

Für die Nicht-XSS-Leser, die aber auch mal testen wollen, folgende Möglichkeit:

Die URL zum Feed aufrufen und auf den folgenden Syntax erweitern, zum Beispiel wie der folgende Syntax. Ist das Blog unsicher, so wird ein Popup erzeugt.

http://deinblog/_wp1/?feed=rss2&<script>alert(1)</script>

Update
Nun habe ich doch noch einen Fehler im Plugin gefunden - bitte die aktuelle Version 2.4 aufspielen. Ich hoffe, dass nun Schluss mit den möglichen Lücken ist.

Update 2
David von Blogsecurity hat sich nun die neue Version nochmal vorgenommen und kann keinerlei Sicherheitslücke finden, er ist mit dem Resultat sehr zu frieden und nutzt das Plugin wieder.

Artikel #481, 20. Juli 2007 · WordPress · 10 Kommentare · Kommentar schreiben
Tags: , ,
read: 7392 · today: 11 · last: 16. März 2010
Kommentar-Feed zum Artikel · TrackBack URL

«
»

6 Kommentare und 4 Trackbacks zu „Plugin WP-FeedStats in neuer Version“

  1. 1
    Kommentar von Sven
    20. Juli 2007 um 17:59

    Seit dem Update sieht mein Eintrag im Tellerand so aus:

    Gesamt: 581 (Letzten 20 Tage)
    Maximum: 60 (attribute_escape()
    Durchschnitt: 29

    Kann es sein, dass sich da irgendwo ein Fehler eingeschlichen hat?

  2. 2
    Kommentar von Frank Bültge
    20. Juli 2007 um 19:57

    Es ist eben nie perfekt, wurde aber soeben behoben - 2.4. Hoffe, es passt jetzt. Was so ein kleines Hochkomma doch ausmacht ;-)

  3. 3
    Kommentar von Sven
    20. Juli 2007 um 23:37

    Das sieht jetzt guuut aus! :-)

  4. 4
    Pingback von Feedstats Sicherheitslücken behoben » Beitrag » Blogalltag
    22. Juli 2007 um 15:46
  5. 5
    Kommentar von Michael
    23. Juli 2007 um 22:17

    Danke für dein rasches Handeln!

  6. 6
    Kommentar von mario_KND
    25. Juli 2007 um 14:55

    Danke für den Post. Interessantes Plug-In. Kannte ich noch gar nicht. Werd ich glaub in meinen neuen Blog auch einbauen.

  7. 7
    Kommentar von caesar
    25. Juli 2007 um 18:29

    Was mich immernoch stört ist, wenn man das Plugin in ein Unterverzeichnis z.B. /feedstats wegen besserer Übersichtlichkeit legt, stimmen sämliche Pfadangaben nicht mehr. Ich muss die erst jedes Mal in der wp-feedstats.php anpassen. Liegt das an mir bzw. meinen Server oder ist das ein allgemeines Problem?

  8. 8
    Pingback von BlogSecurity » wp-feedstats persistent XSS
    26. Juli 2007 um 21:12
  9. 9
    Pingback von BlogSecurity » WordPress BlogWatch
    26. Juli 2007 um 21:14
  10. 10
    Pingback von WordPress Ticker (10) — Software Guide
    31. Juli 2007 um 01:02

Überlastung, Kommentare sind vorübergehend geschlossen

Ich bin urlaubsreif, ersticke in Arbeit und damit auch für die Leser des Weblogs nicht zu erreichen. Bitte geduldet euch ein wenig mit Supportanfragen.
Leider muss ich die Kommentarfunktion deaktivieren, ansonsten würde ich weiter in Arbeit ersticken oder die Anfragen nicht nach bestem Gewissen beantworten.

Vielen Dank für das Verständnis!