Software Guide

Die besten Tipps, Anleitungen und Downloads

Ihre Werbung auf Software Guide

Sie möchten in dieser Box oder an anderer Stelle dieser Webseiten eine Werbung schalten? Sehen Sie sich dazu am besten einfach mal die verschiedenen Möglichkeiten an.


Sicherheitslücke im WordPress-Plugin Edit Comments

5. Juni 2007 von Michael | Wordpress

Das beliebte WordPress-Plugin Edit Comments, welches es jedem Besucher ermöglicht, die eigenen Kommentare nach dem Absenden noch nachträglich zu editieren, hat wohl Sicherheitslücken, ohne dass diese näher spezifiziert werden. Der Autor schrieb am 17. Mai:

Edit Comments has some very grave security and compatibility issues that have NOT been addressed.

Dies sollte man auf jeden Fall ernst nehmen und das Plugin sicherheitshalber deaktivieren.

Den „compatibility issues“ hatte sich Jörn Kretzschmar schon im Februar 2007 angenommen und eine für WP 2.1 kompatible Version veröffentlicht (die übrigens auch in WP 2.2 läuft).
Allerdings ist wohl davon auszugehen, dass auch Jörns Version die vom Autor erwähnten Sicherheitslücken enthält.

Zudem schreibt der Autor, dass er das Plugin aus Zeitgründen nicht mehr weiterentwickelt und er einen Nachfolger sucht (kommt mir irgendwie bekannt vor ;)

Abhilfe verspricht Ajax Edit Comments (deutschsprachige Version gibt es von David, sein Blog ist lt. Blogwartung allerdings derzeit down). Allerdings ist ein Problem bei Ajax Edit Comments, dass es nicht bei jedem Theme funktioniert und sich der Edit-Bereich nicht individuell platzieren lässt.

(Danke vienna22 für den Hinweis)

Informationen zum Artikel:

Weiterblättern im Blog:

Was ist ein Trackback?

6 Trackbacks/Pings:

7 Comments:

Gravatar

1

Jared

5. Juni 2007, 7:19

Ein Problem des Ajax Edit Comments war bei mir das es sich nicht mit meinem Zeichensatz in der Datenbank vertragen hat! Kann sein das ich nicht der einzigste mit diesem Problem bin ;)

lg
Jared

Gravatar

2

SUMu

5. Juni 2007, 8:40

Danke für die Info, schade das Plugin hat gut funktioniert

Gravatar

3

ad

5. Juni 2007, 8:42

Ja, wirklich schade. Die Ajax-Lösung empfinde ich ein wenig als Overkill.

Gravatar

4

Sebbi

5. Juni 2007, 11:40

Also die einzige Sicherheitslücke, die sofort auffällt sind die fehlenden $wpdb->escape() Aufrufe bei den SQL-Abfragen. Dadurch ist eine SQL-Injection über einen URL-Parameter („jal_edit_comments“) möglich.

Gravatar

5

rene

5. Juni 2007, 18:29

Beim Ajax Edit Comments hatte ich mehrfach Mails von Lesern, die fremde Kommentare editieren konnten, auch mit der neuesten Version. Deshalb habe ich das ebenfalls deaktiviert.

Gravatar

6

Alex

12. Juni 2007, 0:06

Ich habe das Problem gefunden, als ich das Plugin für einen Kunden installierte und habe es dem Autor gemeldet, der daraufhin die Warnmeldung auf der Plugin-Seite einfügte. Allerdings habe ich ihm wenig später auch einen Fix geschickt, den er aber nicht eingebaut hat — vermutlich weil er keine Zeit zum Testen hat(te).

Die korrigierte Version gibt es unter http://www.zirona.com/stuff/jal-edit-comments.phps. Die Sicherheitslücke ist darin behoben; außerdem habe ich einige andere Kleinigkeiten behoben, die bei mir Probleme verursacht haben (ich musste ein paar mal isset() durch !empty() ersetzen). Download auf eigene Gefahr und ohne Garantie! Im Zweifelsfall hilft diff.

Gravatar

7

Michael (Author)

16. Juli 2007, 0:24

Hab eben ein neues Plugin veröffentlicht: Neues WordPress-Plugin Edit Comments XT

Die Kommentarmöglichkeit ist derzeit für diesen Artikel ausgeschaltet.

Blog-Kategorien

Volltextsuche

Neueste Artikel

Neueste Kommentare

Neueste Trackbacks/Pingbacks

Andere Projekte

Blogparade

dient als zentrale Anlaufstelle für Blog-Paraden bzw. Blog-Karnevals und andere von BloggerInnen veranstaltete Aktionen.

Mediadaten

Feed-Statistik:
Feedburner

Software Guide gibt es seit Dezember 2005 und es werden durchschnittlich 4 Blog- Beiträge/Monat veröffentlicht. Die Themenschwerpunkte sind in der Tagcloud ersichtlich. Mehr Infos...

Links

 

Nach oben

Wordpress

© 2005-2016 Software Guide | ISSN 1864-9599