WordPress bis 2.2.2 style Cross Site Scripting

VulDB: WordPress bis 2.2.2 style Cross Site Scripting

Allgemein

scipID: 3224
Betroffen: WordPress bis 2.2.2
Veröffentlicht: 01.08.2007 (Benjamin Flesch)
Risiko: problematisch
Eintrag: 94.5% komplett
Erstellt: 20.08.2007
Aktualisiert: 03.09.2012

Beschreibung

WordPress ist ein Weblog Publishing System (auch CMS), das vorwiegend bei der Erstellung von häufig zu aktualisierenden Websites, im Besonderen von Weblogs, eingesetzt wird. Es wurde in PHP geschrieben und benötigt eine MySQL-Datenbank. WordPress ist Freie Software unter der GNU General Public License, ist somit Open Source und wird kostenlos zum Download bereitgestellt. Die Entwickler von WordPress legen besonderen Wert auf Webstandards, Eleganz, Benutzerfreundlichkeit und leichte Anpassbarkeit der Software. Benjamin Flesch meldete vor kurzem eine Schwachstelle, wonach Eingaben an den Parameter “style” in wp-admin/upload.php nicht korrekt validiert werden, was es einem Angreifer erlaubt beliebigen Code im Kontext der angezeigten Webseite zur Ausführung zu bringen. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (36621), Secunia (SA26296), SecurityFocus (BID 25158) und X-Force (35718) dokumentiert.

Für den Vulnerability Scanner Nessus wurde am 06.11.2007 ein Plugin mit der ID 27739 (Fedora 7 2007-1885) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet und im Kontext local ausgeführt.

Wordpress erfreut sich als Authoring Tool mangels adäquater Alternativen nach wie vor grosser Beliebtheit. Manch einem dürfte der Spass am einfachen Publizieren im Anbetracht der Vielzahl an Schwachstellen in den letzten 12 Monaten aber vergangen sein. Die hier publizierte Schwachstelle ist als problematisch anzusehen, kann aber durch das – so oder so obligate – Update auf Version 2.2.2 eliminiert werden.