Bug in WP RSS Aggregator erlaubte XSS

Am Freitag fand ich einen bemerkenswerten Fehler im WordPress-Plugin WP RSS Aggregator. Dieses Plugin ermöglicht es eigentlich, RSS-Feeds in den eigenen Blog zu integrieren.

Das Plugin ermöglichte es - aus mir unbekannten Gründen - beliebigen Text auszugeben, der im POST-Parameter "wprss-sysinfo" übergeben wurde. Reine Textinhalte wurde dabei direkt als Webseiteninhalt angezeigt, Binärinhalte hingegen wurden als Downloads bereitgestellt. Der zugehörige, beispielhafte Exploit-Code passt in einen 140 Zeichen kurzen Tweet:

1
2
3
4
<form action="http://example.com/" method="post">
  <input name="wprss-sysinfo" value="XSS" />
  <input type="submit" />
</form>

Der Entwickler hat äußerst schnell auf den Hinweis reagiert. Der Fehler ist inzwischen mit der Plugin-Version 4.3.1 behoben worden. Dadurch, dass die angezeigten Inhalte vorher mit wp_strip_all_tags() behandelt wurden, besteht bisher nicht die Vermutung, dass die Lücke für Angriffe ausgenutzt werden konnte. Leute, die eine ältere Version im Einsatz haben, sollten trotzdem dringend updaten.

Aggregierte Grüße, Kenny