Support » Plugin: Prosodia VGW OS » Plugin nicht verfügbar

  • Resolved maxidavis

    (@maxidavis)


    Hallo,
    seit dem 31. Juli 2020 scheint es das Plugin nicht mehr zum Download zu geben…! Wordfence zeigt mir dazu schon ein Sicherheitsproblem an. Wird es künftig ein Update etc. geben bzw. woran liegt es?

Viewing 3 replies - 1 through 3 (of 3 total)
  • Plugin Author Dr. Ronny Harbich

    (@raubvogel)

    Hallo,

    korrekt ist, dass das Plugin seit dem 31. Juli 2020 seitens wordpress.org – ohne vorherigen Hinweis an mich – deaktiviert wurde. wordpress.org teilte mir im Anschluss in einer E-Mail mit, dass es Sicherheitsprobleme gäbe. Dort wurden auch die folgenden Code-Stellen aufgelistet:

    On a regular review of all plugins, yours was noted to have sanitization issues:

    wp-vgwort/includes/long-task.php:78: $stats = isset( $_POST[‘wpvgw_task_stats’] ) ? $_POST[‘wpvgw_task_stats’] : null;
    wp-vgwort/includes/long-task.php:80: $offset = isset( $_POST[‘wpvgw_task_offset’] ) ? $_POST[‘wpvgw_task_offset’] : null;
    wp-vgwort/views/post-view.php:165: $postCustomObject = isset( $_POST[‘wpvgw_post_custom_object’] ) ? $_POST[‘wpvgw_post_custom_object’] : null;
    wp-vgwort/views/post-view.php:166: $additionalTexts = isset( $_POST[‘wpvgw_additional_texts’] ) ? $_POST[‘wpvgw_additional_texts’] : array();

    In addition, you use the non-optimal stripslashes:

    wp-vgwort/views/post-view.php:162: $postTitle = isset( $_POST[‘wpvgw_post_title’] ) ? stripslashes( $_POST[‘wpvgw_post_title’] ) : ”;

    M. E. haben die Leute von wordpress.org nicht genau genug geprüft (vermutlich nur mit automatisierten Tools), denn die angeblich fehlerhaften Code-Zeilen sind m. E. korrekt und für Angriffe nicht ausnützbar (es geht um Benutzereingaben, die angeblich nicht ausreichend geprüft werden). Entsprechende Prüfungen werden etwas später im Code vorgenommen. Ich hatte wordpress.org bereits gestern geantwortet – bisher kam keine Rückmeldung.

    Wer mag, kann natürlich gern an plugins@wordpress.org mit dem Betreff „[WordPress Plugin Directory] Closure Notice – Security Violations: Prosodia VGW OS“ schreiben und um schnelle Bearbeitung dieses „false positive“ bitten …

    Den Download gibt es trotzdem noch unter https://downloads.wordpress.org/plugin/wp-vgwort.3.22.10.zip. Muss dann allerdings manuell installiert werden.

    Schöne Grüße!

    Thread Starter maxidavis

    (@maxidavis)

    Vielen Dank für deine ausführliche Antwort!
    Dann weiß ich bescheid und hoffe, dass die Angelegenheit bald überprüft/freigegeben wird.

    Plugin Author Dr. Ronny Harbich

    (@raubvogel)

Viewing 3 replies - 1 through 3 (of 3 total)
  • The topic ‘Plugin nicht verfügbar’ is closed to new replies.