Cross-Site-Scripting-Lücken in WP-Themes

In einem Posting auf der Sicherheits-Mailingliste Bugtraq wird darauf hingewiesen, das diverse WordPress-Themes anfällig Cross-Site-Scripting-Lücken (XSS) sind.

Betroffen sind alle Versionen einschließlich der Version 2.1.3, allerdings nur, wenn ein entsprechendes Theme, welches für diese Art der Lücke empfänglich ist, installiert wurde. Ursache ist dabei eine ungefilterte Übernahme einer aufgerufenen URL in einer 404-Seite – z.B. <Blog-URL>/index.php/index.php/„><script>alert()</script> – wodurch Log-in Cookies oder Passwörter ausgespäht werden könnten.

Einen Patch gibt es bislang noch nicht, Abhilfe kann aber dadurch geschaffen werden, das in den Dateien searchform.php und sidebar.php der Ausdruck

action="< ?php echo $_SERVER['PHP_SELF']; ?>"

durch

action="< ?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>"

ersetzt wird.

[via heise.de]