11.08.2014 yahe legacy security wordpress
Am Freitag fand ich einen bemerkenswerten Fehler im WordPress-Plugin WP RSS Aggregator. Dieses Plugin ist eigentlich dafür gedacht, RSS-Feeds in den eigenen Blog zu integrieren. Das Plugin ermöglichte es aus mir unbekannten Gründen, beliebigen Text auszugeben, der im POST-Parameter "wprss-sysinfo" übergeben wurde. Reine Textinhalte wurde dabei direkt als Webseiteninhalt angezeigt, Binärinhalte hingegen wurden als Downloads bereitgestellt. Der zugehörige, beispielhafte Exploit-Code passt in einen 140 Zeichen kurzen Tweet:
<form action="http://example.com/" method="post">
<input name="wprss-sysinfo" value="XSS" />
<input type="submit" />
</form>
Der Entwickler hat äußerst schnell auf den Hinweis reagiert. Der Fehler ist inzwischen mit der Plugin-Version 4.3.1 behoben worden. Dadurch, dass die angezeigten Inhalte vorher mit "wp_strip_all_tags()" behandelt wurden, besteht bisher nicht die Vermutung, dass die Lücke für Angriffe ausgenutzt werden konnte. Leute, die eine ältere Version im Einsatz haben, sollten trotzdem dringend updaten.