Alert! XSS-Lücken in Wordpress-Themes

Diverse Themes des Blogsystems Wordpress weisen so genannte Cross-Site-Scripting-Lücken (XSS) auf, die Angreifer übers Netz unter Umständen zum Ausspähen von vertraulichen Anwenderdaten nutzen können. Laut einem Posting auf der Sicherheits-Mailingliste Bugtraq betrifft das Problem alle Wordpress-Versionen einschließlich der aktuellen Version 2.1.3. Es tritt jedoch nur bei Verwendung bestimmter Themes zu Tage, darunter auch das Standard-Theme. Der Fehler findet sich offenbar auch in weit verbreiteten Themes wie k2, classic und hiperminimalist.

Ursache des Problems ist die ungefilterte Übernahme der aufgerufenen URL zumeist in die Ausgabe von Theme-spezifischen 404-Fehlerseiten. Ein denkbares Angriffszenario ist, dass Angreifer per E-Mail manipulierte Links verteilen, die Opfern nach dem Anklicken falsche Informationen im Namen des verwundbaren Blogs anzeigen. So können sie beispielsweise an Log-in Cookies oder Passwörter gelangen.

Ob ein Blog mit seinem Theme verwundbar ist, lässt sich etwa durch Aufruf von http://<Blog-URL>/index.php/index.php/"><script>alert()</script> feststellen. Öffnet sich ein Alert-Fenster, ist das Theme fehlerhaft. Offizielle Updates für die Themes gibt es bislang noch nicht. Ein vorläufiger Workaround besteht jedoch darin, im Verzeichnis des verwendeten Themes – in der Regel wp-content/themes/<Theme-Name>/ – in den Dateien searchform.php und sidebar.php nach dem Ausdruck

action="<?php echo $_SERVER['PHP_SELF']; ?>"

zu suchen und ihn durch

action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>"

zu ersetzen. Dies rüstet für die Ausgabe die zusätzliche Filterfunktion htmlspecialchars() nach und verhindert die Ausnutzung der Schwachstelle.

Siehe dazu auch:

• Wordpress All versions XSS, Posting auf Bugtraq