Tipps, WordPress

Sicherheitslücke in WordPress < 2.0.6

Die Zeiten ändern sich.

Dieser Beitrag scheint älter als 14 Jahre zu sein – eine lange Zeit im Internet. Der Inhalt ist vielleicht veraltet.

Mal wieder wurde eine Sicherheitslücke im System von WordPress entdeckt, der SecurityForus berichtet. Das Problem wird als Hoch (7.0) eingestuft und sollte behoben werden. Dazu gibt es einen Patch, der folgender maßen aussieht oder downloade die aktuelle Datei auf der Patch-Seite und überschreibe die aktuelle Datei.

** In der Version 2.0.6 beta 1 ist der Fehler nicht behoben!

Workflow:

Die Datei templates.php im Ordner wp-admin bearbeiten. Suche nach (ab Zeile 111):


<?php
echo '<ol>';
foreach ($recents as $recent) :
	echo "<li><a href='templates.php?file=" . wp_specialchars($recent, true) . "'>" . get_file_description(basename($recent)) . "</a></li>";
endforeach;
?>

und ersetze mit:


<?php
echo '<ol>';
foreach ($recents as $recent) :
	echo "<li><a href='templates.php?file=" . attribute_escape($recent) . "'>" . wp_specialchars(get_file_description(basename($recent))) . "</a></li>";
endforeach;
?>
Standard

30 Gedanken zu “Sicherheitslücke in WordPress < 2.0.6

  1. Pingback: Linktipps #6 at Punctilio

  2. Pingback: Eine gute und eine schlechte Neuigkeit zu Wordpress — Software Guide

  3. Danke für den Hinweis auf die Sicherheitslücke.

    Ich verwende die WordPress 2.0.5 (de) Version. In der Datei templates.php steht in Zeile 114:

    echo „<li><a href=’templates.php?file=“ . wp_specialchars($recent, true) . „‚>“ . get_file_description(basename($recent)) . „</a></li>“;

    Ist der Fehler behoben, wenn ich den Ausdruck

    get_file_description(basename($recent))

    durch

    wp_specialchars(get_file_description(basename($recent)))

    ersetze?

    Warum werden bei Deinem Beispiel zwei Listenpunkte ausgegeben?

  4. Pingback: Psychomuell

  5. @Steffen: ja. muss es heisen – aber irgendwie schluckt mein Code-Plugin die vier Zeichen.

    @Martin: nein, reicht nicht, da charset auch übernommen werden muss.

  6. Pingback: Basic Thinking Blog » kritisches Sicherheitsupdate für Wordpress

  7. Pingback: + mzungu’s weblog + » Notiz: Patch für Sicherheitslücke Wordpress

  8. Pingback: netzpolitik.org: » Wordpress Update auf 2.0.6 » Aktuelle Berichterstattung rund um die politischen Themen der Informationsgesellschaft.

  9. Pingback: Blogschrott - » Wordpress 2.0.6 inkl. Security Fix

  10. Pingback: WordPress Sicherheitslücke | kopflos

  11. Pingback: UPLOAD » Sicherheitslücke in Wordpress

  12. Pingback: WebZweiPunktNull.de » Blog Archive » Wordpress Sicherheitslücke

  13. Pingback: XSS-Vulnerability in Wordpress | wordpress | XSBlog2.0beta

  14. Pingback: metafakten // WordPress 2.0.6 mit Sicherheitsfixes

  15. Pingback: Wordpress XSS Sicherheitslücke + Patch - SEO Marketing Blog

  16. Pingback: WordPress 2.0.6 DE-Edition ist verfügbar » admartinator.de

  17. Pingback: Wordpress Update at Punctilio

  18. Danke Enrique, hatte es auch schon gelesen und den Hinweis bei Michael, von dir, habe ich auch gelesen. Wird sicher nicht der letze Hinweis sein, das gehört eben dazu.
    Liebe Grüsse

  19. Pingback: WordPress 2.0.6 und Feed-Probleme | bueltge.de [by:ltge.de]

  20. Pingback: needful things

  21. Pingback: Wordpress: Update und Probleme mit Feedburner » andi.de

  22. Pingback: Ham Radio Blog

  23. Pingback: Wordpress Update 2.0.6 auf F!XMBR

  24. Pingback: WordPress Sicherheitslücke nach Update auf 2.0.6 | bueltge.de [by:ltge.de]

  25. Pingback: This-Edv.de » Aktuell: Wordpress Patch

  26. Pingback: This-edv.de - Leben, Glaube & Beruf des Thomas I.

Die Kommentarfunktion ist geschlossen.