Недавно я писал про дырку в плагине вордпресса, а сегодня стало известно о дыре в ядре wordpress. XSS уязвимость была обнаружена в файле post-template.php. Официальных инструкций или патча пока что нет, хотя закрыть дыру самостоятельно не представляет особых проблем.

Работать будем с файлом post-template.php. Необходимо будет поправить всего 5 строк.

Первая заплатка

function the_title($before = '', $after = '', $echo = true) {
	$title = get_the_title();

	if ( strlen($title) == 0 )
		return;

	$title = $before . $title . $after;

	if ( $echo )
		echo htmlentities($title); /* Строка 52 исправленная */
	else
		return htmlentities($title); /* Строка 54 исправленная*/
}

Вторая заплатка

function the_title_attribute( $args = '' ) {
	$title = get_the_title();

	if ( strlen($title) == 0 )
		return;

	$defaults = array('before' => '', 'after' =>  '', 'echo' => true);
	$r = wp_parse_args($args, $defaults);
	extract( $r, EXTR_SKIP );


	$title = $before . $title . $after;
	$title = esc_attr(strip_tags($title));

	if ( $echo )
		echo htmlentities($title) ;/* Строка 87 исправленная*/
	else
		return htmlentities($title); /* Строка 89 исправленная*/
}

Третья заплатка

function get_the_title( $id = 0 ) {
	$post = &get_post($id);

	$title = isset($post->post_title) ? $post->post_title : '';
	$id = isset($post->ID) ? $post->ID : (int) $id;

	if ( !is_admin() ) {
		if ( !empty($post->post_password) ) {
			$protected_title_format = apply_filters('protected_title_format', __('Protected: %s'));
			$title = sprintf($protected_title_format, $title);
		} else if ( isset($post->post_status) && 'private' == $post->post_status ) {
			$private_title_format = apply_filters('private_title_format', __('Private: %s'));
			$title = sprintf($private_title_format, $title);
		}
	}
	return htmlentities(apply_filters( 'the_title', $title, $id )); /* Строка 119 исправленная*/
}

Вот и всё. 5 исправленных строк. Безопасность +. Карма +.