Finanso.de

Wordpress-Suchfunktion Sicherheitsproblem fixen

In Anbetracht der späten Zeit nur erstmal kurz dazu:

Nachtrag: Eine Erläuterung um was es geht gibt es jetzt auch.

Spreeblick / Trackback Sicherheitslücke

Aus diesem:

Spreeblick Spiegel-Online Sicherheitslücke

Wenn im entsprechenden Wordpress-Template in der sidebar.php der Eingabewert für nicht folgendermaßen entschärft wird:

<input type="text" value="<?php echo wp_specialchars($s, 1); ?>" name="s" id="s" />

sondern da nur steht

<input name="s" id="s" />

dann bitte schnell ändern.

Ebenso in der search.php, welche für die Ausgabe der Suchergebnisse zuständig ist alle

<?php echo $s; ?>

<?php echo wp_specialchars($s); ?>

umändern.

Die Funktion wp_specialchars() sorgt für die Entschärfung von Nutzereingaben, also Eingaben von Dritten.

(Finden kann man die Lösung - so wie ich - wenn man sich - wie ich - damit eigentlich nicht wirklich auskennt durch den Vergleich des eigenen Wordpress-Templates mit den Wordpress-Basis-Template, welches ja eigentlich alles nötige enthalten sollte.)

Update:

Das bei Spreeblick betroffene Template K2 ist etwas ganz sehr anders als die meisten anderen aufgebaut. Nach der Empfehlung von Max, dem Spreeblick-Mitautor und Administrator:

In diesem Fall reichte es, die Zeile 28 in der Datei theloop.php, die so aussieht:

printf(__(’Search Results for \’%s\’’,’k2_domain’), $s);

durch das hier zu ersetzen:

printf(__(’Search Results for \’%s\’’,’k2_domain’), htmlspecialchars($s));

Das Wordpress-Template, welches ich hier verwende ist relativer Standard, bei dem oben beschriebene Methode geholfen hat (der Bug trat auch hier auf).

Lesen Sie weiter zum Sicherheitsproblem:

Phishing - Sicherheitsprobleme bei Spiegel-Online und Spreeblick, rbbonline und ARD

Abgelegt unter: WebWork 12. November 2006 2:37