Der renommierte Sicherheitsexperte fukami hat wieder einmal ein XSS – Sicherheitsproblem gefunden. Er weist darauf hin, dass eine kürzlich gefundene Sicherheitslücke in WordPress auch für viele selbstgebaute WordPress-Themes gilt. Augenscheinlich ist der selbe oder zumindest ein ähnlicher Exploit auch bei Antville möglich.
Der schnellste Fix für das konkrete Problem: An allen Stellen in den Templates „<?php echo $_SERVER['PHP_SELF']; ?>
“ durch „<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>
“ ersetzen.
Normalerweise sollte diese Massnahme ausreichen – nachdem die Welt der WordPress-Themes aber eine ausgesprochen komplexe ist, bitte vorher ein Backup der Themes machen, und nachher prüfen, ob alles noch funktioniert wie es sollte. Bei Antville dürfte die Fehlerbehebung ähnlich sein.
Der konkrete Exploit funktioniert nur, wenn WordPress eine eigene „404 Template“ benutzt, allerdings ist die Korrektur in jedem Fall empfehlenswert. Ideal wäre auch hier natürlich, sich generell an den Grundsatz zu halten, keinerlei Daten ungeprüft vom Benutzer anzunehmen – aber das wird wohl auf lange Zeit leider ein frommer Wunsch bleiben.