Sidebar
ein-/ausblenden

TextLinkAds WordPress Plugin mit Sicherheitslücke

Plugin für WordPress SEO

Anzeige

BlogSecurity weist auf eine Sicherheitslücke im Plugin von TextLinkAds hin.

Schon Michael empfand das Plugin als unseriös und berichtet im Artikel „Text Link Ads verliert Seriösität“ warum und wieso er dieser Meinung ist.

TLA wird von vielen WordPress Usern in der Form als Plugin genutzt, obwohl es unnötig ist. Das Script für den Zugriff auf die XML-Datei kann extra im Theme-Ordner abgelegt werden und mittels einer einfachen include-Anweisung eingebunden werden. Damit können zwar immer noch Lücken entstehen, aber der Zugriff auf die Datenbank ist nicht gegeben.

<?php include (TEMPLATEPATH . '/affiliate/tla.php'); ?>

Wer also das Plugin im Einsatz hat - Sicherheitslücke schließen! BlogSecurity erklärt wie es geht.

Fix information:

The vulnerable code is found on line 512:
$postId = $postId;

This variable is passed to $wpdb->get_results without being sanitised.
to fix this hole, simply change the above line to:
$postId = (int) $postId; /* FIXED */

Artikel #596, 17. Januar 2008 · Allgemein · 5 Kommentare · Kommentar schreiben
Tags: , , ,
read: 7918 · today: 10 · last: 9. Februar 2010
Kommentar-Feed zum Artikel · TrackBack URL

«
»

4 Kommentare und 1 Trackback zu „TextLinkAds WordPress Plugin mit Sicherheitslücke“

  1. 1
    Kommentar von Manuel Merz
    17. Januar 2008 um 14:24

    Danke für den Hinweis. Benutze selber aber kein TextlinkAds und kenn es deshalb nicht :(

  2. 2
    Kommentar von BloggingTom
    17. Januar 2008 um 16:27

    Ich bin etwas verwirrt ob dieser Security-Warnung von BlogSecurity. Die schreiben nämlich, die Version 1.1.1 wie auch die "aktuelle" 1.1.3 sei davon betroffen. In einem meiner Blogs benutze ich das Plugin tatsächlich, das trägt aber die Versionsnummer 3.0.6.

    Stellt sich die Frage, ob ich eine exotische "Spezialversion" verwende, oder ob die Security-Warnung hoffnunglos veraltet ist...

  3. 3
    Kommentar von Karsten
    17. Januar 2008 um 17:55

    Ich nutze dieses Plugin auch nicht. wozu soll es gut sein?

  4. 4
    Pingback von DimidoBlog » Bloglinks 03/2008
    21. Januar 2008 um 00:37
  5. 5
    Kommentar von asdf
    7. Juni 2008 um 20:25

    'Please note I have verified that this vulnerability affects v3.0.8.. Please note, all plugins are likely affected before (15/Jan/08). DO NOT rely on the version numbers.'

Kommentar schreiben

Kommentar-Hilfe

Bezug auf Textstellen:
Du kannst direkt bezug auf Textstellen im Beitrag nehmen. Dazu muss lediglich der Bereich im Artikel markiert werden; daraufhin erscheint ein Button, der den markierten Text in das Kommentarfeld übernimmt und als Zitat auszeichnet. Die Funktion ist nur bei aktivem JavaScript nutzbar.

xHTML:
Du kannst folgende Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <blockquote cite=""> <code> <pre> <em> <strong> <strike> <ul> <ul> <li>

Achte darauf, wenn du Code im Kommentar hinterlegen willst, dann muss der Code maskiert sein. Dann wird er nicht interpretiert. Der Code muss mit Hilfe von HTML-Entities dargestellt werden, d.h. dass man z.B. < als &lt; und > als &gt; einfügt.

E-Mail-Benachrichtigung bei neuen Kommentaren ?
Wenn der Haken in der Checkbox gesetzt ist, dann wirst du über neue Kommentare vie E-Mail informiert. Der Versand erfolgt nur, wenn du die URL in der Bestätigungs-E-Mail genutzt hast oder schon Abonnent hier im Blog bist.

Kommentar erscheint nicht:
Alle Kommentare werden manuell geprüft, freigegeben und nach Möglichkeit beantwortet. Bitte um etwas Geduld und Nachsicht.

Identifikationsbilder (Avatare):
Auf Gravatar.com kann man sich mit seiner E-Mail-Adresse registrieren und ein Bild hochladen, dann erscheint dieses Gravatar hier und in vielen weiteren Blogs.

Spamschutz:
Das Kommentarformular ist mit einem JavaScript-Spamschutz ausgerüstet. Solltest du diesen Artikel ohne JavaScript besuchen und kommentieren wollen, so muss du die Frage beantworten und das jeweilige Wort in das Textfeld eingeben.