Sicherheits-Update: WordPress-Plugin „Math Comment Spam Protection“
28. November 2007 von Michael | Wordpress
Ein Blogger namens MustLive hat eine Sicherheitslücke im von mir geschriebenen WordPress-Plugin Math Comment Spam Protection entdeckt: XSS in Math Comment Spam Protection.
Leider hat es MustLive nicht für nötig empfunden, mich als Autor über seine Entdeckung zu informieren, so dass ich davon nichts mitbekommen habe. Glücklicherweise hat mich aber Robert Basic heute per E-Mail auf den Artikel aufmerksam gemacht.
Ich habe daraufhin nun die Sicherheitslücke geschlossen und die Version 2.2 veröffentlicht, die zum Download zur Verfügung steht.
Die Sicherheitslücke war in allen bisherigen Plugin-Versionen enthalten und es war zumindest theoretisch möglich, über die Plugin-Optionen für die Ausgabe der Fehlermeldungen bei Eingabe einer falschen Lösung einen schadhaften Code auszuführen. Grundsätzlich empfehle ich jedem, das Update durchzuführen. Ich werde dies auch zum Anlass nehmen, meine anderen Plugins die nächsten Tage auf Sicherheitslücken zu prüfen.
Was ist ein Trackback?
10 Trackbacks/Pings:
1
Basic Thinking Blog | Math Comment Plugin
Pingback vom 28. November 2007, 2:18