Information Leakage im Simplr Registration Form Plus+ Plugin
18.08.2014 yahe legacy security wordpress
Zur Abwechslung mal nur ein kleineres Problem, dieses Mal im Simplr Registration Form Plus+ Plugin. Dort ist es möglich, die Datei "simplr-registration-form/simplr_reg_options.php" direkt aufzurufen. Darin befindet sich dann eine Liste aller statischen Seiten der WordPress-Webseite, also auch solche, die nicht öffentlicht verlinkt sind.
Bugs in zwei WordPress-Plugins verwandelten Blogs in Download-Portale
15.08.2014 yahe legacy security wordpress
Vor ein paar Tagen habe ich eine spannende Lücke in zwei miteinander verwandten WordPress-Plugins gefunden. Dabei handelt es sich um den WP Advanced Importer und den WP Ultimate CSV Importer. Beide Plugins bringen die Dateien "./templates/uploader.php" und "./templates/UploadHandler.php" mit sich. Bei ersterer handelt es sich um einen ungeschützten Einstieg, während zweitere den eigentlichen, schadhaften Code enthält.
Bug in WP CSV Plugin erlaubte Dateidownload
12.08.2014 yahe legacy security wordpress
Vor ein paar Tagen fand ich im WordPress-Plugin WP CSV einen interessanten Fehler. Dort war die Datei "download_view.php" ohne weiteren Schutz aufrufbar. Eigentlich dient diese Datei dazu, die erstellten CSV-Exports herunterladen zu können. Doch leider wurde nicht sichergestellt, dass die Datei nicht von außen aufgerufen werden kann. Das führte dazu, dass ein Angreifer per GET-Parameter einen beliebigen Dateinamen übergeben konnte. Existierte diese Datei und endete ihr Name auf ".csv", so wurde sie heruntergeladen, auch, wenn sie sich in einem von außen unzugänglichen Ordner befand. Doch noch mehr: In älteren PHP-Versionen ermöglichte die Form der Prüfung potentiell eine Null Byte Injection, sodass nicht ausgeschlossen werden kann, dass beliebige Dateien heruntergeladen werden konnten.
Der Bug ist jedenfalls in der neuen Version 1.6.0 gefixt worden. Es ist deshalb angeraten, sobald wie möglich auf die neue Version upzudaten.
Bug in WP RSS Aggregator erlaubte XSS
11.08.2014 yahe legacy security wordpress
Am Freitag fand ich einen bemerkenswerten Fehler im WordPress-Plugin WP RSS Aggregator. Dieses Plugin ist eigentlich dafür gedacht, RSS-Feeds in den eigenen Blog zu integrieren. Das Plugin ermöglichte es aus mir unbekannten Gründen, beliebigen Text auszugeben, der im POST-Parameter "wprss-sysinfo" übergeben wurde.
Wordpress mit verschiedenen Datenbanknutzern absichern
28.02.2014 yahe administration code legacy security wordpress
WordPress ist nicht gerade ein Stück Software, das für sein herausragendes Sicherheitskonzept bekannt ist. Viele Dinge muss man erst mühsam im Alleingang nachbessern. So hat es mich schon immer gestört, dass Nutzer, die sich meinen Blog ansehen, im Hintergrund den gleichen Datenbanknutzer verwenden, wie ich als Administrator, der die Seite konfiguriert und neue Bloginhalte bereitstellt. Wenn es möglich wäre, wenigstens für diese zwei stark gegenteiligen Nutzungsszenarien verschiedene Datenbanknutzer zu verwenden, wäre schon viel erreicht.
Auto-Updates in WordPress deaktivieren
25.10.2013 yahe administration legacy wordpress
Mit WordPress 3.7 hielt ein neues Feature Einzuge, das den ein oder anderen Website-Administrator potentiell stören könnte: Die Rede ist vom neuen Auto-Update Feature des WordPress-Cores. Einige mögen sich fragen, weshalb man sich an solch einer Funktion stören könnte.
WordPress: Mailversand per SMTP
01.03.2012 yahe administration code legacy wordpress
Es kommt durchaus mal vor, dass man WordPress auf einem Server einsetzt, der keinen Mailversand über die PHP-Funktion "mail()" zulässt. In solchen Fällen muss man auf den Mailversand per SMTP zurückgreifen. Leider bietet WordPress nicht die Möglichkeit, die SMTP-Konfiguration direkt vorzunehmen. Das ist sehr schade, denn eigentlich wäre es kein großer Aufwand, dies bereitzustellen. Folgendermaßen muss man vorgehen, um WordPress dazu zu bringen, Mails via SMTP zu verschicken.
SSL-Modus für WordPress-Blogs
01.03.2011 yahe administration code legacy security wordpress
Ich persönlich mag SSL sehr, denn es ist eine einfache Methode, um ein wenig Übertragungssicherheit zu gewährleisten. Aus diesem Grund baue ich meine Angebote gerne so, dass ich SSL nutzen kann, wenn ich möchte. Leider hat WordPress damit so seine Probleme. Man kann eine Seite zwar generell via SSL aufrufen, beim Klick auf den nächsten seiteninternen Link wird man dann jedoch wieder auf eine unverschlüsselte Seite weitergeleitet.
SelTheme: Let the User decide!
24.11.2009 Yahe code legacy wordpress
Um zu testen, wie eine WordPress-basierte Webseite mit einem anderen installierten Theme aussieht, reicht es im Normalfall aus, der URL noch ein paar Parameter anzuhängen:
?preview=1&template=[name]&stylesheet=[name]"[name]" steht hierbei für den Namen des Theme-Ordners, in dem sich das jeweilige Design befindet. WordPress-Themes befinden sich im Ordner "wp-content/themes/". Dort kann man auch nachsehen, welches Designs alles zur Verfügung stehen. Die Sache hat jedoch einen Haken. Diese Lösung funktioniert nur dann, wenn man bei dem entsprechenden Blog eingeloggt ist. Oft ist es jedoch so, dass man gern wissen möchte, was andere vom neuen Design halten. Diese müssten zur Beurteilung nun eigentlich einen Account bei dem entsprechenden Blog erhalten.
