Einige beliebte Themes für WordPress weisen eine so genannte XSS-Lücke auf, die Angreifer übers Netz unter Umständen zum Ausspähen von vertraulichen Anwenderdaten nutzen können. Laut einem Posting auf der Sicherheits-Mailingliste Bugtraq betrifft das Problem alle WordPress-Versionen einschließlich der aktuellen Version 2.1.3. Es tritt jedoch nur bei Verwendung bestimmter Themes zu Tage:

• WordPress Standard-Theme
• k2 Theme
• Classic Theme
• Hiperminimalist Theme

Ursache des Problems ist die ungefilterte Übernahme der aufgerufenen URL zumeist in die Ausgabe von Theme-spezifischen 404-Fehlerseiten. Ein denkbares Angriffszenario ist, dass Angreifer per E-Mail manipulierte Links verteilen, die Opfern nach dem Anklicken falsche Informationen im Namen des verwundbaren Blogs anzeigen. So können sie beispielsweise an Log-in Cookies oder Passwörter gelangen.

Ein Beispiel eines solchen Aufrufes wäre z.B.
http://<Blog-URL>/index.php/“><script>alert(document.cookie)</script>.

Zwar gibt es noch keine offiziellen Updates für die betreffenden Themes, mit folgendem Workaround hat man jedoch die Möglichkeit, die Lücke zu schließen. Dazu im Verzeichnis des verwendeten Themes – in der Regel wp-content/themes/<Theme-Name>/ – in den Dateien searchform.php und sidebar.php nach folgenden Ausdrücken suchen:

1. Bei allen Themes in der searchform.php:
   action="<?php echo $_SERVER['PHP_SELF']; ?>"
   und ersetzten durch:
   action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>"
2. Nur bei k2 Themes in der sidebar.php:
   action="<?php echo $_SERVER['PHP_SELF']; ?>"
   und ersetzten durch:
   action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>"

Dies rüstet für die Ausgabe die zusätzliche Filterfunktion htmlspecialchars() nach und verhindert die Ausnutzung der Schwachstelle.