Bu önemli bir duyuru. Çoğumuzun kullanmış olduğu, sayfaların numaralandırılmasını sağlayan Pagenavi ve Wp-Pager2 eklentilerinde XSS açığı tespit edildi. Bu açık sitemde de vardı ve uyarı olarak bana bildiren eno7’e çok teşekkürler 😉
Açık her iki eklentide de bulunuyor ne yazık ki ve XSS komutları rahatlıkla çalıştırılabiliyor. Bugün eno7’nin bildirmesi üzerine hemen kullandığım eklenti üzerinde düzenleme yaptım ve şimdilik oldu gibi.
Açığı kapatmak?
Eğer bu Pagenavi kullanıyorsanız eno7’nin önerdiği PageBar eklentisini kullanabilirsiniz. Bu eklentide XSS açığı bulunmuyor. Eğer wp-pager2 eklentisini de kullanıyorsanız, yine bu eklentiye geçebilirsiniz. Ya da alttaki yamayı uygulayabilirsiniz.
wp-pager.php dosyanızı açın.
?>
satırından önce,
function new_get_pagenum_link($i=1)
{
return attribute_escape(get_pagenum_link($i));
}
satırını ekleyin.
Ve eklenti içerisinde geçen tüm,
get_pagenum_link
kelimelerini,
new_get_pagenum_link
olarak değiştirin 😉
Tekrar eno7 ‘e teşekkürlerimi bildiriyorum 😉