postie – possible xss attack – ignoring email

das postie plugin nervt seit version 1.4.4 mit “possible xss attack – ignoring email” rum, wenn ich z.b. mit dem iphone per mail ein bild bloggen wollte.

das problem ist schon gut bekannt. abhilfe hat von den entwicklern noch keiner geschaffen. ich hab dann einfach kurzen prozess mit der komischen sicherheitsabfrage gemacht und in der datei /wp-content/plugins/get_mail.php ab zeile 36 den kram auskommentiert.

 // check for XSS attacks - we disallow any javascript, meta, onload, or base64
    if (preg_match("/.*(script|onload|meta|base64).*/is", $email)) {
      echo "possible XSS attack - ignoring email\n";
      continue;
    }

was ich nicht so ganz verstanden habe… in der mail vom iphone ist der anhang base64 codiert. also hab ich erst das rausgeschmissen aus der abfrage. ging trotzdem nicht, obwohl in der ganzen mail nix von “script|onload|meta” drinne stand. erst nachdem ich die komplette abfrage auskommentiert habe, brachte das das gewuenschte ergebnis.

31. August 2012 by sd
Categories: Uncategorized | Tags: , , | 8 comments

Comments (8)

  1. mit dem auskommentieren funzt es, aber der Anhang zum Beispiel ein PDF wird in WP nicht angezeigt.

  2. hm.. glaube nicht, dass das mit dem auskommentierten code zusammenhaengt. dieser dient ja nur zur abwehr potentieller angriffe.

  3. Ja, da hast du recht. Aber in der Version 1.4.4. scheint der Wurm drin zu sein. Wo erhält man die alte 1.4.3 Version (nein, ich habe davon KEIN Back Up ;-( )

  4. Alte Versionen gefunden http://wordpress.org/extend/plugins/postie/download/ und wieder installiert. Problem scheint aber bei WP 3.4.2 zu liegen, denn PDF werden auch mit Postie 1.4.3 nicht mehr angezeigt.

  5. oder so 😉
    ja schade…

  6. ha, ha. WP funzt, Postie funzt. Aber man darf die Mails mit Anhang NICHT mit Apple Mail versenden. Wieso weiss ich zwar nicht, aber ist so.

  7. hm.. auf der suche nach der ursache.. schau dir mal den quelltext der mail an. irgendwas anders als bei anderen mailprogrammen?

Leave a Reply

Required fields are marked *