Sidebar
ein-/ausblenden

TextLinkAds WordPress Plugin mit Sicherheitslücke

Plugin für WordPress SEO

Anzeige

BlogSecurity weist auf eine Sicherheitslücke im Plugin von TextLinkAds hin.

Schon Michael empfand das Plugin als unseriös und berichtet im Artikel „Text Link Ads verliert Seriösität“ warum und wieso er dieser Meinung ist.

TLA wird von vielen WordPress Usern in der Form als Plugin genutzt, obwohl es unnötig ist. Das Script für den Zugriff auf die XML-Datei kann extra im Theme-Ordner abgelegt werden und mittels einer einfachen include-Anweisung eingebunden werden. Damit können zwar immer noch Lücken entstehen, aber der Zugriff auf die Datenbank ist nicht gegeben.

<?php include (TEMPLATEPATH . '/affiliate/tla.php'); ?>

Wer also das Plugin im Einsatz hat - Sicherheitslücke schließen! BlogSecurity erklärt wie es geht.

Fix information:

The vulnerable code is found on line 512:
$postId = $postId;

This variable is passed to $wpdb->get_results without being sanitised.
to fix this hole, simply change the above line to:
$postId = (int) $postId; /* FIXED */

Artikel #596, 17. Januar 2008 · Allgemein · 5 Kommentare · Kommentar schreiben
Tags: , , ,
read: 8587 · today: 16 · last: 18. März 2010
Kommentar-Feed zum Artikel · TrackBack URL

«
»

4 Kommentare und 1 Trackback zu „TextLinkAds WordPress Plugin mit Sicherheitslücke“

  1. 1
    Kommentar von Manuel Merz
    17. Januar 2008 um 14:24

    Danke für den Hinweis. Benutze selber aber kein TextlinkAds und kenn es deshalb nicht :(

  2. 2
    Kommentar von BloggingTom
    17. Januar 2008 um 16:27

    Ich bin etwas verwirrt ob dieser Security-Warnung von BlogSecurity. Die schreiben nämlich, die Version 1.1.1 wie auch die "aktuelle" 1.1.3 sei davon betroffen. In einem meiner Blogs benutze ich das Plugin tatsächlich, das trägt aber die Versionsnummer 3.0.6.

    Stellt sich die Frage, ob ich eine exotische "Spezialversion" verwende, oder ob die Security-Warnung hoffnunglos veraltet ist...

  3. 3
    Kommentar von Karsten
    17. Januar 2008 um 17:55

    Ich nutze dieses Plugin auch nicht. wozu soll es gut sein?

  4. 4
    Pingback von DimidoBlog » Bloglinks 03/2008
    21. Januar 2008 um 00:37
  5. 5
    Kommentar von asdf
    7. Juni 2008 um 20:25

    'Please note I have verified that this vulnerability affects v3.0.8.. Please note, all plugins are likely affected before (15/Jan/08). DO NOT rely on the version numbers.'

Überlastung, Kommentare sind vorübergehend geschlossen

Ich bin urlaubsreif, ersticke in Arbeit und damit auch für die Leser des Weblogs nicht zu erreichen. Bitte geduldet euch ein wenig mit Supportanfragen.
Leider muss ich die Kommentarfunktion deaktivieren, ansonsten würde ich weiter in Arbeit ersticken oder die Anfragen nicht nach bestem Gewissen beantworten.

Vielen Dank für das Verständnis!