Alerte de sécurité – thèmes WordPress
BlogSecurity nous annonce ce matin qu’une faille de sécurité dans certains thèmes a été trouvée par Heise.de.
Je suis incapable de dire si c’est vraiment une faille dangereuse.
Pour tester son thème il faut simplement saisir :
http://www.example.com/index.php/">script>alert(1)</script>
En remplaçant évidemment « www.example.com » par votre nom de domaine.
Sur un autre message on trouve la commande :
http://<Blog-URL>/index.php/index.php/"><script>alert()</script>
Si vous recevez un Popup d’alerte, c’est que votre thème est vulnérable à cette attaque.
Pour corriger le problème je vous renvoie aux sites précédemment indiqués et en particulier à cette page [en].
En gros il faut rechercher dans les fichier searchform.php et sidebar.php le code suivant :
action="<?php echo $_SERVER['PHP_SELF'];? >"
Et le remplacer par celui là :
action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']);? >"
Il me semble qu’un bidouilleur peut corrige le problème lui même. Sinon il reste toujours la possibilité de changer de thème. Mon thème actuel n’est apparemment pas affecté par la faille par exemple. Je n’ai pas testé tous les thèmes que j’ai traduit. Si vous en trouvez un de vulnérable, prévenez moi en postant un commentaire.
Edit à 9h55 : les balises dans les codes de test sont bizarres. Il y a des différences entre les 2 sources. Soit il s’agit d’un canular soit il va y avoir une mise à jour de la ligne de code à passer pour tester son site.
Cet article n'est pas tagué.
Aucun problème sur le thème « Dezinerfolio ».
Pas plus de nouvelles ? :S
Non, je suis remonté jusqu’à la source sur bugtraq : http://seclists.org/bugtraq/2007/May/0011.html mais ça ne donne rien de plus. J’ai testé plusieurs thèmes et je n’en ai trouvé aucun de vulnérable. A suivre…
Merci beaucoup pour ta réponse rapide
Sklep komputerowy z tanimi czesciami komputerowymi:
sklep komputerowy