多くのテーマに XSS 脆弱性のおそれ

XSS(クロスサイトスクリプティング)の脆弱性のおそれがあったらしいのでメモ・・・。 対策をされてない方は一度確認してみましょう! 私も該当箇所を修正しておきました。 WordPress Japan :: トピックを表示 – 多くのテーマに XSS 脆弱性のおそれ (EasyAll は要確認) http://phpbb.xwd.jp/viewtopic.php?t=1144

CVE-2007-2627 によると、多くの WordPress テーマにおける sidebar.php に XSS 脆弱性があることが報告されました。WordPress 2.1 以降の classic, default は大丈夫です。ME 版のデフォルト EasyAll は、そのままでは安全らしいですが、そこにカスタム 404 テンプレートを追加する改造をしていれば危険です。 詳細によると、sidebar.php の検索フォームに以下のような記述があると危険ということです。各自、お使いのテーマファイルを確認し、カスタム 404 テンプレートが存在する場合、sidebar.php の記述を確認してください。
Code:
<form method=”get” id=”searchform” action=”<?php echo $_SERVER[‘PHP_SELF’]; ?>”>
修正するには、default テンプレートにならって、以下のようにしてください。
Code:
<form method=”get” id=”searchform” action=”<?php bloginfo(‘url’); ?>”>
なお、カスタム 404 テンプレートがなければ PHP_SELF の記述があっても安全らしいですが、念のため修正しておいた方がいいでしょう。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です