it-swarm.com.de

Sicherheitsfehler WP 4,0 + WP phpBB Bridge

also habe ich heute auf 4.0 aktualisiert (froh, dass ich ein Backup hatte).

Alles hat gut funktioniert, bis ich versuchte, einen Beitrag zu veröffentlichen. Dort habe ich Are you sure you want to do this bekommen. Hatte auch Cheatin' Uh unter aussehen-> anpassen. Sehr informative Botschaften. Ich wandte mich an Google und nach einigem googeln und Experimentieren mit dem Aktivieren/Deaktivieren von Plugins fand ich heraus, welches es verursachte.

Es war WP phpBB Bridge . Es ist ein Plugin, mit dem sich Benutzer mit phpBB-Konten in WP einloggen können. Nach einigem Durchsuchen des Codes dieses Plugins habe ich festgestellt, dass das Problem durch die Funktion load_session_id() in der Zeile wp_phpbb_bridge.php, insbesondere wp_set_auth_cookie($userid, true, false);, verursacht wird. Wenn ich diese Zeile kommentiere, während ich eingeloggt bin, wird das Problem gelöst, leider kann man es kaum als Lösung bezeichnen. Wenn ich mich abmelde, kann ich mich natürlich nicht anmelden, da ich kein Authentifizierungs-Cookie erhalte.

Und so stecke ich fest und habe keine Ahnung, wie man dieses Problem löst.

3
Igor Yavych

Hoffentlich ist dies eine vorübergehende Lösung für Sie. Die Idee ist, die Nonce zu überschreiben.

Fügen Sie Folgendes in eine functions.php-Datei oder in das Plugin selbst ein

function wp_verify_nonce($nonce, $action = -1) { return 1; }

Derzeit funktioniert dies auf der Bridge, die ich auf meiner Site verwende (Eine andere Bridge für ein anderes Forum-Softwarepaket). Ich würde gerne herausfinden, wie ich WP_Session_Tokens verwende, um dies so einzurichten, dass die Nonce verifiziert wird.

Vielleicht ist dieser Verweis hilfreich.

http://developer.wordpress.org/reference/classes/wp_session_tokens/get_instance/

sowie dieses Ticket:

https://core.trac.wordpress.org/ticket/20276

IMHO: Ich bin nicht der Meinung, dass die Frage nicht zum Thema gehört. Es ist sehr umstritten, da die externe Authentifizierung in WordPress 4.0 geändert wurde und viele Probleme verursachen kann. Immerhin haben die Entwickler die Sitzungsdatei hinzugefügt, und das ist wahrscheinlich der Grund für das Problem.

1
LPH