XSS(クロスサイトスクリプティング)の脆弱性のおそれがあったらしいのでメモ・・・。
対策をされてない方は一度確認してみましょう!
私も該当箇所を修正しておきました。
WordPress Japan :: トピックを表示 – 多くのテーマに XSS 脆弱性のおそれ (EasyAll は要確認)
http://phpbb.xwd.jp/viewtopic.php?t=1144
CVE-2007-2627 によると、多くの WordPress テーマにおける sidebar.php に XSS 脆弱性があることが報告されました。WordPress 2.1 以降の classic, default は大丈夫です。ME 版のデフォルト EasyAll は、そのままでは安全らしいですが、そこにカスタム 404 テンプレートを追加する改造をしていれば危険です。
詳細によると、sidebar.php の検索フォームに以下のような記述があると危険ということです。各自、お使いのテーマファイルを確認し、カスタム 404 テンプレートが存在する場合、sidebar.php の記述を確認してください。
Code: |
<form method=”get” id=”searchform” action=”<?php echo $_SERVER[‘PHP_SELF’]; ?>”> |
修正するには、default テンプレートにならって、以下のようにしてください。
Code: |
<form method=”get” id=”searchform” action=”<?php bloginfo(‘url’); ?>”> |
なお、カスタム 404 テンプレートがなければ PHP_SELF の記述があっても安全らしいですが、念のため修正しておいた方がいいでしょう。