WordPress "PHP_SELF" XXS

[Lou_Cipher]

Eingaben an die Variable "PHP_SELF" werden nicht korrekt gefiltert, bevor sie an den Benutzer zurückgegeben werden. Dies kann ausgenutzt werden, um im Kontext einer betroffenen Seite beliebigen HTML- und Scriptcode in der Browsersitzung eines Benutzers auszuführen.

Quelle: WordPress "PHP_SELF" Cross-Site-Scripting-Sicherheitslücke - Advisories - Secunia

[SuMu]

ist ja nett, dass du Bugs hier meldest, aber der normale user (so wie ich) hat kaum oder keine Ahnung von php und die fehler..., auch kann man das dann selber wohl nicht einschätzen.

Also heißt das nur, es gibt bald wieder ein update

[Syntronica]

Ich frage mich sowieso schon seit Langem, was dieses Einfügen der Sec-Artikel hier soll.
Damit ist niemandem geholfen, außer Programmierern vielleicht.

Ich sehe darin keinen Sinn, wie SuMu schon sagte, Leute ohne PHP-Kenntisse diese Sec-Artikel vorzusetzen.

Updates wird es sowieso geben.

[Lou_Cipher]

Wenn der Artikel dich nicht zusagt solltest du es weder lesen noch kommentieren. Aber so wie du das Recht hast zu kommentieren haben andere auch Recht zu posten (es sei dem es wird vom WP Team verboten) denn sollte man nur Artikel die dein Interesse wecken posten, wäre vielleicht auch nicht zur Zufriedenheit anderer. Es dient ja auch nur als Info und als irgendeinen Grund hast es ja auch gelesen oder ?

[mastermind]

Man sollte zusätzlich erwähnen, dass
(a) dies ein ziemlich konstruiertes Sicherheitsproblem ist, da der "Angreifer" das Recht haben muss, Theme-Dateien zu bearbeiten (was normalerweise nur der Admin darf), und
(b) dieser Fehler in den aktuellen RCs und damit auch in den bald erscheinenden Versionen bereits behoben ist.

Im Übrigen bin ich auch der Meinung, dass man Sicherheitsprobleme ruhig posten soll. Wenn Leute wissen, dass es ein Problem gibt, können sie darauf reagieren. Und wem das Ganze nichts sagt, darf es ignorieren.