Alvorligt sikkerhedshul i Postman SMTP plugin

For få dage siden fjernede WordPress det ellers fremragende plugin Postman SMTP fra det officielle kodearkiv på wordpress.org. Det sker fra tid til anden for plugins eller themes, der har vist sig ikke længere at være sikre. En sikkerheds-blog havde påvist et sikkerhedshul i Postman SMTP (version 1.7.2).

Fejlen er ikke blevet rettet af Jason Hendriks, udvikleren af Postman SMTP, og det har derfor fået WordPress’ administratorer til at fjerne plugin’et fra deres download-database. Det betyder samtidig, at der ikke er en opdatering lige rundt om hjørnet.

I en diskussionstråd om problemet har en Jon Brown dog publiceret et simpelt forslag til en løsning af problemet:

I linje 346 af 
/wp-content/plugins/postman-smtp/Postman/Postman-Email-Log/PostmanEmailLogController.php

Ret
   value="<?php echo $_REQUEST['page'] ?>" />
til
   value="<?php echo esc_attr($_REQUEST['page']) ?>" />

Biberkopf har patchet alle WordPress-installationer tilhørende kunder med en vedligeholdelsesaftale.