Hallo,
korrekt ist, dass das Plugin seit dem 31. Juli 2020 seitens wordpress.org – ohne vorherigen Hinweis an mich – deaktiviert wurde. wordpress.org teilte mir im Anschluss in einer E-Mail mit, dass es Sicherheitsprobleme gäbe. Dort wurden auch die folgenden Code-Stellen aufgelistet:
On a regular review of all plugins, yours was noted to have sanitization issues:
wp-vgwort/includes/long-task.php:78: $stats = isset( $_POST[‘wpvgw_task_stats’] ) ? $_POST[‘wpvgw_task_stats’] : null;
wp-vgwort/includes/long-task.php:80: $offset = isset( $_POST[‘wpvgw_task_offset’] ) ? $_POST[‘wpvgw_task_offset’] : null;
wp-vgwort/views/post-view.php:165: $postCustomObject = isset( $_POST[‘wpvgw_post_custom_object’] ) ? $_POST[‘wpvgw_post_custom_object’] : null;
wp-vgwort/views/post-view.php:166: $additionalTexts = isset( $_POST[‘wpvgw_additional_texts’] ) ? $_POST[‘wpvgw_additional_texts’] : array();
In addition, you use the non-optimal stripslashes:
wp-vgwort/views/post-view.php:162: $postTitle = isset( $_POST[‘wpvgw_post_title’] ) ? stripslashes( $_POST[‘wpvgw_post_title’] ) : ”;
M. E. haben die Leute von wordpress.org nicht genau genug geprüft (vermutlich nur mit automatisierten Tools), denn die angeblich fehlerhaften Code-Zeilen sind m. E. korrekt und für Angriffe nicht ausnützbar (es geht um Benutzereingaben, die angeblich nicht ausreichend geprüft werden). Entsprechende Prüfungen werden etwas später im Code vorgenommen. Ich hatte wordpress.org bereits gestern geantwortet – bisher kam keine Rückmeldung.
Wer mag, kann natürlich gern an plugins@wordpress.org mit dem Betreff „[WordPress Plugin Directory] Closure Notice – Security Violations: Prosodia VGW OS“ schreiben und um schnelle Bearbeitung dieses „false positive“ bitten …
Den Download gibt es trotzdem noch unter https://downloads.wordpress.org/plugin/wp-vgwort.3.22.10.zip. Muss dann allerdings manuell installiert werden.
Schöne Grüße!
Vielen Dank für deine ausführliche Antwort!
Dann weiß ich bescheid und hoffe, dass die Angelegenheit bald überprüft/freigegeben wird.
