Alle Blogs » Sicherheitslücke bei Wordpress-Themes

Sicherheitslücke bei Wordpress-Themes

am 07.05.2007 von http://www.lawblog.de

Der renommierte Sicherheitsexperte fukami hat wieder einmal ein XSS - Sicherheitsproblem gefunden. Er weist darauf hin, dass eine kürzlich gefundene Sicherheitslücke in Wordpress auch für viele selbstgebaute Wordpress-Themes gilt. Augenscheinlich ist der selbe oder zumindest ein ähnlicher Exploit auch bei Antville möglich.
Der schnellste Fix für das konkrete Problem: An allen Stellen in den Templates “<?php echo $_SERVER[PHP_SELF]; ?>” durch “<?php echo htmlspecialchars($_SERVER[PHP_SELF]); ?>” ersetzen.
Normalerweise sollte diese Massnahme ausreichen - nachdem die Welt der Wordpress-Themes aber eine ausgesprochen komplexe ist, bitte vorher ein Backup der Themes machen, und nachher prüfen, ob alles noch funktioniert wie es sollte. Bei Antville dürfte die Fehlerbehebung ähnlich sein.
Der konkrete Exploit funktioniert nur, wenn Wordpress eine eigene …

Kommentar schreiben




Briefeschreiber gefasst - Hochwaldmörder nicht ermittelt

LAWgical / Nach dem Massen-DNS-Test im nördlichen Saarland hat die Polizei den Verfasser der Briefe, die in den vergangenen Jahren bei verschiedenen Polizeidienststellen eingegangen sind, gefasst. Es handelt sich dabei um einen 34jährigen Mann, der sein …

BGH: Eintrittspflicht einer Rechtsschutzversicherung bei Kündigungsandrohung des Arbeitgebers

anwalt-kiel.com / Der Bundesgerichtshof - IV ZR 305/07 - hat die Eintrittspflicht eines Rechtsschutzversicherers bei vom Versicherungsnehmer behaupteten Rechtsverstoß durch Kündigungsandrohung des Arbeitgebers bestätigt. I. Der Kläger verlangt von seinem Rechtssc…

20% auf alles - außer Tiernahrung

Rechtslupe / Der Bundesgerichtshof hat gestern über die Zulässigkeit einer mit dem Slogan “20% auf alles” angekündigten Rabattaktion zu entscheiden. Freilich nicht über diese Rabattaktion allgemein, sondern über einen Sonderfall von vier Produkte…

Befundbericht ohne Umsatzsteuer

Rechtslupe / Für einen Befundbericht ohne nähere gutachtliche Äußerung braucht bei der Honorierung keine Umsatzsteuer erstattet zu werden. In einem aktuellen Fall hat das Bundessozialgericht hierzu entscheiden, dass das beklagte Land berechtigt war, bei der H…

Schadensersatzhaftung einer Bank bei unzulänglicher Prüfung einer gefälschten Scheckbestätigung

bankundkapitalmarktrecht / Legt der Kunde einer Bank eine Scheckbestätigung zur Prüfung vor, kommt ein Auskunftsvertrag zustande, dessen Schlechterfüllung Schadenersatzansprüche nach sich ziehen kann. Dies entschied das Oberlandesgericht Karlsruhe und gab der Klage eines B…

Gefälschte Scheckbestätigung

Rechtslupe / Eine Bank haftet bei unzulänglicher Prüfung einer gefälschten Scheckbestätigung auf Schadensersatz. Einen solchen Fall hat jetzt das Oberlandesgericht Stuttgart entschieden. Der Kläger in dem beim OLG Stuttgart verhandelten Fall ist Kunde bei de…

Neuregelungren bei Verbraucherdarlehen

§§ Jur-Blog.de §§ / Auch online werden zunehmend Darlehen an Verbraucher angeboten. Dabei ist die anonyme Werbung und Bestellung im Internet besonders verführerisch. Das Bundeskabinett hat aktuell eine Neuregelung beschlossen. Diese greift tief in die noch nicht allzu…

Musik zum Kaufen

RA-Blog / Die FAZ (via Handakte) berichtet unter dem Titel Legal Lieder laden von der überraschenden Erkenntnis, dass man im Internet Musik auch kaufen kann: Fabian, 43, interessiert sich für das neue Album „Hurricane“ von Grace Jones. Warum? 14,9…

1 BvR 2147/08 vom 23.10.2008

BVerfG / Die Verfassungsbeschwerde wird nicht zur Entscheidung angenommen, weil sie unzulässig ist. Sie ist nicht gemäß § 93 Abs. 1 Satz 1 BVerfGG fristgerecht in einer § 23 Abs. 1 Satz 2, § 92 BVerfGG genügenden Weise begründet worden. Insbesonder…

BGH: 0,8-fache Geschäftsgebühr für Schutzschrift?

Dr. Damm & Partner Rechtsanwälte / BGH, Beschluss vom 13.03.2008, Az. I ZB 20/07 § 2 Abs. 2 Satz 1 RVG, Anlage 1 Nr. 3100 VV RVG Der BGH hat entschieden, dass für die Hinterlegung einer Schutzschrift auch dann eine 1,3-fache Geschäftsgebühr gefordert oder festgesetzt werden kann,…

4A_289/2008 (amtl. Publ.): Verjährungsunterbrechung

Blawg von David Vasella / In einem am 4. November 2008 publizierten Entscheid (4A_289/2008 vom 1. Oktober 2008) äusserte sich das Bundesgericht zur Thematik der Verjährungsunterbrechung im Kontext der Haftung eines Motorfahrzeughalters).Hinsichtlich der verjährungsunterbre…

Wang-Anwälte fahren schweres Geschütz auf - Staatsanwaltschaft und OB bleiben gelassen

schreibmaschine / Eine einvernehmliche Vertragsauflösung ist endgültig vom Tisch: In der Auseinandersetzung um seine Beurlaubung ist der Würzburger Generalmusikdirektor (GMD) Jin Wang auf Konfrontationskurs gegangen. Seine Anwälte haben am Don…

» Suche in den JuraBlogs

Automatisch übernommen von:

RA Udo Vetter

LawBlog

» LawBlog

» Aktuell in den Lawblogs

» Top-Meldungen

» TOP-Meldungen per E-Mail

Infos zum kostenlosen Service »