XSS-Lücken in diversen Wordpress-Themes

V

V40

Caspar
Hallo,

wieder einmal wird davor gewarnt, ich kann nur hoffen das es endlich mal mehr Leute ernst nehmen.

Diverse Themes des Blogsystems Wordpress weisen so genannte Cross-Site-Scripting-Lücken (XSS) auf........

Es tritt jedoch nur bei Verwendung bestimmter Themes zu Tage, darunter auch das Standard-Theme. Der Fehler findet sich offenbar auch in weit verbreiteten Themes wie k2, classic und hiperminimalist.......

Ob ein Blog mit seinem Theme verwundbar ist, lässt sich etwa durch Aufruf von http://<Blog-URL>/index.php/index.php/"><script>alert()</script> feststellen. Öffnet sich ein Alert-Fenster, ist das Theme fehlerhaft......
Click to expand...

Quelle : heise online - XSS-Lücken in Wordpress-Themes

Edit:

Das wichtigste vergessen :D

Wordpress is vulnerable to XSS attacks when custom 404 pages are used by the template.
.....
if no custom 404 page set by wordpress theme this attacks is not posible.
Click to expand...

Quelle : Bugtraq: Wordpress All versions XSS
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top