WordPress XSS-Hack bei integriertem bbPress

Der beim fiesen Admin beschriebene, aktuelle XSS-Hack für WordPress betrifft nicht nur WordPress-Blogs mit einer Benutzerregistrierung, sondern auch jedes WordPress mit einem integrierten bbPress-Forum, selbst wenn die Benutzerregistrierung im Blog abgeschaltet wurde.

Es handelt sich bei der bbPress-Integration ja gerade um die Möglichkeit, dass sich WordPress und bbPress eine gemeinsame Benutzerdatenbank teilen. Das hat nicht nur den angenehmen Effekt, dass ein in bbPress registrierter und angemeldeter Benutzer beim Kommentieren nicht mehr seine Daten beim Kommentieren eines Blogeintrages eingeben muss, sondern er erhält auch einen Zugriff auf das WordPress-Dashboard. Damit ist auch der beschriebene Hack möglich.

Angesichts der Tatsache, dass dieser Hack sehr einfach in seiner Durchführung und auch leicht mit einem Skript automatisierbar ist, und angesichts der Tatsache, dass es schon betroffene Blogs gibt, sollte bei jedem WordPress-Anwender, der eine Benutzerregistierung ermöglicht oder ein eingebettetes bbPress-Forum betreibt, die Alarmglocke unüberhörbar sein. Ein Upgrade auf die aktuelle WordPress-Version 2.8.4 ist dringend erforderlich.

Jetzt auch mit Forum

Diese kleine Website verfügt jetzt auch über ein Forum. Natürlich handelt es sich um ein bbPress in der aktuellen stabilen Version und mit meiner deutschen Sprachdatei, da ich glaube, dass man Fehler am schnellsten bemerkt, wenn man regelmäßig Tag mit der Software arbeitet…  ;-)

Vielleicht bildet sich ja im Laufe der Zeit eine kleine Gemeinschaft von bbPress-Nutzern, die sich untereinander aushelfen.

Aber auch jemand, der sich nicht an diesem Forum beteiligen will, kann dort einen Eindruck von der Qualität der Übersetzung erhalten.