Das Plugin WP-FeedStats hatte wohl eine Sicherheitslücke, die ich allerdings nicht nachvollziehen kann. Auf meinen Testservern kann ich keine Scripte injizieren. Ich habe nun alle Ausgaben des Plugins mit der Funktion htmlspecialchars versehen, so dass es theoretisch nicht mehr möglich ist, Zeichen für Code zu übergeben.
Ich habe mehrere Tests gefahren – ohne Erfolg. Vielleicht ist ein Leser unter euch, der sich wesentlich besser mit dem injizieren von Webseiten auskennt. Schön wäre es, wenn sich einige Tester finden und mir mal eine Information zukommen lassen. Ebenso habe ich Blogsecurity eine Version zukommen lassen, bisher leider unbeantwortet – aber ich denke, David wird sich nochmal zu einem Test hinreisen lassen.
Für die Nicht-XSS-Leser, die aber auch mal testen wollen, folgende Möglichkeit:
Die URL zum Feed aufrufen und auf den folgenden Syntax erweitern, zum Beispiel wie der folgende Syntax. Ist das Blog unsicher, so wird ein Popup erzeugt.
http://deinblog/_wp1/?feed=rss2&<script>alert(1)</script>
Update
Nun habe ich doch noch einen Fehler im Plugin gefunden - bitte die aktuelle Version 2.4 aufspielen. Ich hoffe, dass nun Schluss mit den möglichen Lücken ist.
Update 2
David von Blogsecurity hat sich nun die neue Version nochmal vorgenommen und kann keinerlei Sicherheitslücke finden, er ist mit dem Resultat sehr zu frieden und nutzt das Plugin wieder.
Seit dem Update sieht mein Eintrag im Tellerand so aus:
Kann es sein, dass sich da irgendwo ein Fehler eingeschlichen hat?
Es ist eben nie perfekt, wurde aber soeben behoben – 2.4. Hoffe, es passt jetzt. Was so ein kleines Hochkomma doch ausmacht 😉
Das sieht jetzt guuut aus! 🙂
Danke für dein rasches Handeln!
Danke für den Post. Interessantes Plug-In. Kannte ich noch gar nicht. Werd ich glaub in meinen neuen Blog auch einbauen.
Was mich immernoch stört ist, wenn man das Plugin in ein Unterverzeichnis z.B. /feedstats wegen besserer Übersichtlichkeit legt, stimmen sämliche Pfadangaben nicht mehr. Ich muss die erst jedes Mal in der wp-feedstats.php anpassen. Liegt das an mir bzw. meinen Server oder ist das ein allgemeines Problem?