Bug in WP RSS Aggregator erlaubte XSS

Am Freitag fand ich einen bemerkenswerten Fehler im WordPress-Plugin WP RSS Aggregator. Dieses Plugin ermöglicht es eigentlich, RSS-Feeds in den eigenen Blog zu integrieren.

Das Plugin ermöglichte es - aus mir unbekannten Gründen - beliebigen Text auszugeben, der im POST-Parameter "wprss-sysinfo" übergeben wurde. Reine Textinhalte wurde dabei direkt als Webseiteninhalt angezeigt, Binärinhalte hingegen wurden als Downloads bereitgestellt. Der zugehörige, beispielhafte Exploit-Code passt in einen 140 Zeichen kurzen Tweet:

1
2
3
4
<form action="http://example.com/" method="post">
  <input name="wprss-sysinfo" value="XSS" />
  <input type="submit" />
</form>

Der Entwickler hat äußerst schnell auf den Hinweis reagiert. Der Fehler ist inzwischen mit der Plugin-Version 4.3.1 behoben worden. Dadurch, dass die angezeigten Inhalte vorher mit wp_strip_all_tags() behandelt wurden, besteht bisher nicht die Vermutung, dass die Lücke für Angriffe ausgenutzt werden konnte. Leute, die eine ältere Version im Einsatz haben, sollten trotzdem dringend updaten.

Aggregierte Grüße, Kenny

Schreibe einen Kommentar

Um Ihnen beim weiteren Kommentieren auf dieser Webseite die erneute Eingabe Ihrer Daten zu ersparen, wird beim Absenden Ihres Kommentars ein Cookie an Ihren Browser gesendet und von diesem gespeichert. Mit dem Absenden eines Kommentars auf dieser Webseite stimmen Sie der Speicherung und Übertragung dieses Cookies explizit zu.

Pflichtfelder sind mit * markiert.