Bug in WP RSS Aggregator erlaubte XSS
11.08.2014 yahe legacy security wordpress
Am Freitag fand ich einen bemerkenswerten Fehler im WordPress-Plugin WP RSS Aggregator. Dieses Plugin ist eigentlich dafür gedacht, RSS-Feeds in den eigenen Blog zu integrieren. Das Plugin ermöglichte es aus mir unbekannten Gründen, beliebigen Text auszugeben, der im POST-Parameter "wprss-sysinfo" übergeben wurde.
