Wie Heise.de berichtet besteht in einigen WordPress Themes eine Sicherheitslücke. Betroffen ist die aktuelle WordPress Version 2.1.3 und die Themes: K2, Classic und Hiperminimalist.

Heise liefert dazu auch einen einfachen Test, ob die eigene Theme betroffen ist und wie man die Sicherheitslücke schließen kann.

Ob ein Blog mit seinem Theme verwundbar ist, lässt sich etwa durch Aufruf von http://<Blog-URL>/index.php/index.php/"><script>alert()</script> feststellen. Öffnet sich ein Alert-Fenster, ist das Theme fehlerhaft. Offizielle Updates für die Themes gibt es bislang noch nicht. Ein vorläufiger Workaround besteht jedoch darin, im Verzeichnis des verwendeten Themes – in der Regel wp-content/themes/<Theme-Name>/ – in den Dateien searchform.php und sidebar.php nach dem Ausdruck

action="<?php echo $_SERVER['PHP_SELF']; ?>"

zu suchen und ihn durch

action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>"

zu ersetzen. Dies rüstet für die Ausgabe die zusätzliche Filterfunktion htmlspecialchars() nach und verhindert die Ausnutzung der Schwachstelle.