80 Responses to “This is the first Weblog XSS Worm”:

1. Wordpress ZeroDay Vulnerability Roundhouse Kick and why I nearly wrote the first Blog Worm (updated) ~ mybeNi websecurity Says:
   July 31st, 2007 at 02:25

   […] post: res:// File Enumeration. Not on Windows, not using IE - but hell, it works! next one: This is the first Weblog XSS Worm […]

---

2. Code Odyssey » Wordpress 2.2.1 users - XSS-worm warning! Says:
   July 31st, 2007 at 04:06

   […]Got a message from the security expert beni which says that he has found 7 security issues with the blog platform Wordpress (latest version 2.2.1).

   He has now created a friendly XSS-worm which uses this vulnerabilities to patch your system. More instructions how to to this in his blog-post.[…]

---

3. anathema Says:
   July 31st, 2007 at 05:16

   Thanks -

   First time I’ve seen a helpful worm

   Great service and nice idea

---

4. 7 nuevos problemas de seguridad en WordPress en Buayacorp - Diseño y Programación Says:
   July 31st, 2007 at 05:33

   […] misma persona que reportó estos bugs se tomó el trabajo de realizar un gusano que se encarga de parchar los blogs vulnerables, siempre y cuando se el servidor web tenga permisos […]

---

5. zoiz Says:
   July 31st, 2007 at 08:58

   Thanks pal i’ve just execute your worm..

---

6. PaymentBlogger » Archives » Wordpress blues solved with a worm Says:
   August 1st, 2007 at 03:20

   […] a quick post about mybeni latest idea, its as far as I know the first dedicated XSS worm for wordpress, basically it means that his proof […]

---

7. Vulnerabilitá Wordpress e il primo Worm benevolo « We’re in Says:
   August 1st, 2007 at 04:05

   […] 17yo who hacked google”, mybeNi, ha appena creato un worm per worpress che sfrutta la nuovissima le nuovissime vulnerabilitá XSS (Worpress Roundhouse kick vulnerability, […]

---

8. Script Artists | Wordpress-Wurm als Security-Patch? Says:
   August 1st, 2007 at 05:17

   […] soll man davon halten: This is the first Weblog XSS Worm? Mehr zu den betroffenen 7 Lücken im Bloggingsystem: Wordpress ZeroDay Vulnerability Roundhouse […]

---

9. Wordpress XSS Vulnerabilities Says:
   August 1st, 2007 at 05:21

   […] http://mybeni.rootzilla.de/mybeNi/2007/this_is_the_first_weblog_xss_worm/ […]

---

10. StoiBär » Blog Archiv » Sieben neue Lücken in Wordpress Says:
    August 1st, 2007 at 06:42

    […] Workaround bietet Flesch einen eigenen eigenen Proof-Of-Concept-Wurm. Sein AJAX-basierter Wurm nutzt eine der Schwachstellen, um die gefundenen Ansatzpunkte Cross-Site […]

---

11. Der erste XSS Wurm für WordPress | bueltge.de [by:ltge.de] Says:
    August 1st, 2007 at 07:09

    […] man die XSS-Lücke ausnutzt und wie man den Wurm indiziert, das erklärt mybeNi. Das ganze basiert auf WordPress Version […]

---

12. mybeNi websecurity Says:
    August 1st, 2007 at 07:33

    […] info: Websecurity Audits, Vulnerability Assessment and all kinds of other Hack stuff. - This is the first Weblog XSS Worm This is the first Weblog XSS Worm Wordpress ZeroDay Vulnerability […]

---

13. unknown Says:
    August 1st, 2007 at 09:50

    wow dude what is this service pack for Wordpress

---

14. beNi Says:
    August 1st, 2007 at 10:02

    Haha, indeed! :o)

---

15. mk Says:
    August 1st, 2007 at 10:19

    hi beNi,

    super sache und danke für deinen “guten” wurm. leider ist bei mir außer dem blogroll-eintrag nichts sichtbar. zumindest erscheint immer noch dein patch hinweis, wenn ich ein weiteres mal auf den link im kommentar klicke. was mache ich falsch?

---

16. mmyNews Says:
    August 1st, 2007 at 10:21

    XSS Wurm für WordPress…

    Mehr unter bueltge.de (inklusive Lösungsvorschlägen) oder direkt beim Autor mybeni.rootzilla.de/mybeNi. Der Wurm ist nämlich ein Guter. Führt man Ihn aus, wird man wohl automatisch durch einen Updateprozess geführt. Denen, die …

---

17. beNi Says:
    August 1st, 2007 at 10:28

    mk: Hallo!

    Also der Patch-hinweis erscheint JEDESMAL wenn du von deinem AdminPanel aus mein Blog besuchst, egal ob du den Patch schon hast oder nicht, er erkennt einfach die seite von der du kommst als ein Wordpress Adminpanel (also /wp-admin/ in der URL)

    Ob du wirkich gepatch bist, solltest du in
    /wp-admin/templates.php?file=/wp-admin/upload.php
    nachschauen ob da irgendwas wie

    “/*
    Security Patch added by the Secure Wordpress Worm
    by Benjamin Flesch http://mybeni.rootzilla.de/mybeNi/
    */”

    wenn das der Fall ist, bist du “gepatcht”.

    Da der Blogroll-Link auch schon hinzugefügt wurde sollte es bei dir eigentlich keine weiteren probleme geben

    Gruß Benjamin

---

18. mk Says:
    August 1st, 2007 at 10:29

    dann dank ich dir recht schön.

---

19. El Primer gusano para Wordpress | La WeB de DragoN Says:
    August 1st, 2007 at 11:28

    […] apropiadas. Todos están detallados en su blog, pero lo especial es que ha creado una prueba de concepto de un gusano que afecta el popular Wordpress con un resultado […]

---

20. Tina Says:
    August 1st, 2007 at 12:16

    Danke! Endlich mal ein netter Wurm. =)

---

21. Erster Wordpress XSS Wurm | adminlife.net Says:
    August 1st, 2007 at 12:48

    […] erste Wordpress XSS Wurm ist raus, der eine Zero-Day Schwachstelle in Wordpress ausnutzt. Alle derzeit erhältlichen […]

---

22. KRiZZi Says:
    August 1st, 2007 at 12:53

    Vielen Dank, beNi!

---

23. h4Rk Says:
    August 1st, 2007 at 03:03

    Wordpress: Der freundliche Wurm…

    Die aktuelle Version 2.2.1 der freien Blogsoftware Wordpress, mit der auch diese Seite betrieben wird, enthält verschiedene Sicherheitslücken; einige davon werden als “kritisch” eingestuft. Von offizieller Seite gibt es noch keine Patches…

---

24. Lennard Says:
    August 1st, 2007 at 05:19

    Thanks a lot! I easily patched three WordPress installations I’m maintaining. I guess you already checked your referrers and ticked me in your Global WordPress Security Chart

---

25. M Says:
    August 1st, 2007 at 05:38

    I patched the file upload vulnerability myself when I saw the announcement on Security Focus, now the worm won’t work to patch the others Can you send me the text of what you instruct readers to do?
    I promise to only use it for good.

---

26. beNi Says:
    August 1st, 2007 at 05:46

    M: I haven’t read any Article at Securityfocus, but how about undoing the changes you did to your wordpress code and then launching the worm again?

    Never trust these 3rd Party “Security” Sites like Securityfocus or Secunia. They are all the same, scraping the Content, publishing the exploits and filing them without any backlinks to the sources.

---

27. pHleX Says:
    August 1st, 2007 at 09:03

    danke!!

---

28. Jens Grochtdreis Says:
    August 1st, 2007 at 11:46

    Danke für diese Idee und Deine Hilfe, WP ein bischen sicherer zu bekommen.

---

29. BloggingTom Says:
    August 2nd, 2007 at 12:01

    Wurm fixt aktuelle WordPress-Lücken…

    Sieben neue Sicherheitslücken hat beNi in den letzten Tagen in der aktuellen WordPress-Version 2.1.1 entdeckt und publik gemacht. Doch nicht nur das: Er hat auch gleich einen “gutmütigen” Wurm geschrieben, der die Lücken patchen soll:
    …

---

30. R@V3N Says:
    August 2nd, 2007 at 12:13

    Vielen Dank für die Fixes erstmal. Wie schaut es da aber jetzt mit zukünftigen Patches von Wordpress aus, sind die noch möglich?

    Ich hatte erst Probleme, da meine Domain meinen Blog in einem “unsichtbaren” Frame anzeigt, damit die richtige Domain nicht sichtbar ist. Da erkennt der Wurm natürlich den Admin-Panel nicht. Also immer dran denken, über die direkte Adresse zuzugreifen

    Danke nochmal

    Gruß
    Markus

---

31. Wurm einladen statt bekämpfen « Sicherheitslücken, Wordpress, Benjamin, Sicherheits-Release, Bueltge, Schritte, Variante, Nachbesserungen, Blogger, Regel « News Splitter Blog Says:
    August 2nd, 2007 at 12:30

    […] Wie man den Sicherheits-Wurm einlädt „Gutes“ zu tun, verrät Benjamin auf seinem Blog. Es besteht auch die Möglichkeit, die Nachbesserungen selbst und per Hand vorzunehmen. Wer […]

---

32. IT-Flüsterer.de » Wurmkur für Wordpress 2.2.1 Says:
    August 2nd, 2007 at 01:44

    […] http://mybeni.rootzilla.de/mybeNi/2007/this_is_the_first_weblog_xss_worm/  […]

---

33. .:. stoeps .:. de .:. Says:
    August 2nd, 2007 at 02:01

    XSS Wurm für Wordpress…

    Der erste XSS Wurm für WordPress | bueltge.de [by:ltge.de]:
    Wie man die XSS-Lücke ausnutzt und wie man den Wurm indiziert, das erklärt mybeNi. Das ganze basiert auf WordPress Version 2.2.1.
    Bueltge.de zeigt die Lücken und wie man sie per Hand schli…

---

34. fwolf Says:
    August 2nd, 2007 at 02:02

    der upload-bug funktioniert schon mal nicht in WP 2.0.10.

    vermutlich der rest auch nicht. werde, sobald ich dafür zeit habe, aber noch ein bisserl rumprobieren.

    cu, w0lf.

---

35. heiste Says:
    August 2nd, 2007 at 02:10

    Wurm alarm…

    Der erste Wurm für WordPress und ich lade den auch noch selber runter. Aber myBeNi hat sich die Mühe gemacht einen freundlichen Wurm zu schreiben. Dieser behevt 7 Sicherheitslücken in der neuen WordPress Version 2.2.1. Super mybeNi und W…

---

36. Der freundliche XSS-Wurm für Wordpress « Sicherheit,wordpress,XSS-Lücke,Weblogsoftware « Weblogs und Wikis Says:
    August 2nd, 2007 at 02:43

    […] Wurm vertraut und die Lücken automatisch beheben möchte, dann folgt man am besten diesen Link. Benjamin macht in seinem Weblog einen sehr vertrauenswürdigen Eindruck, deshalb mach ich das […]

---

37. Gutartiger Wurm für Wordpress! | Pixelraiders Says:
    August 2nd, 2007 at 03:24

    […] näheres dazu Lesen möchte dem sei folgende Seite ans Herz […]

---

38. Balauue.org » es wurmt so wurmig im wordpress. Says:
    August 2nd, 2007 at 03:56

    […] hat mal wieder Lücken. Benjamin Flesch beschreibt hier wie man sich dagegen schützen kann. Er hat einen “friedlichen Wurm” programmiert, […]

---

39. Feanwulfs Welt Says:
    August 2nd, 2007 at 05:28

    7 Wordpress Lücken & der freundliche Wurm…

    Beim stöbern diverser Blogs von Freunden habe ich von den sieben gefundenen Wordpress Lücken über den Blog von Xsized erfahren. Es handelt sich dabei um kritische Lücken, die entweder manuell oder durch einen “freundlichen Wur…

---

40. Gone for good.. or at least 24 hours ~ mybeNi websecurity Says:
    August 2nd, 2007 at 06:16

    […] my small world full of websecurity, overall security, safety and… security in the web. nah, kiddin’ « previous post: This is the first Weblog XSS Worm […]

---

41. fix | meltin-point Says:
    August 2nd, 2007 at 06:21

    […] ich hab‘ s getan! Ich habe den Wurm zum Schließen der 7 neuesten Sicherheitslücken auf meinem Blog ausgeführt! Nachdem […]

---

42. ADIT Systems-Blog » Blog Archive » XSS-Lücke in Wordpress gefunden Says:
    August 2nd, 2007 at 06:23

    […] Genaue Informationen über diesen Wurm gibt es auf dieser Seite. […]

---

43. hackademix.net » Patching WordPress, WormLess Says:
    August 2nd, 2007 at 06:54

    […] been some talk, lately, about the “friendly” AJAX worm coded by Benjamin Flesch as a proof of concept both leveraging and patching 3 XSS vulnerabilities […]

---

44. Matt Says:
    August 2nd, 2007 at 07:31

    Thanks a lot

---

45. momworx » Über sieben Lücken musst du gehen Says:
    August 2nd, 2007 at 08:33

    […] freundliche Helfer ist hier zu finden. Dort findet man auch eine Anleitung und diverse […]

---

46. Nop Says:
    August 2nd, 2007 at 09:32

    Except that it seems it introduces some bugs as well (in files link-imports.php and options.php, ‘+’ character is replaced by space).
    http://www.symantec.com/enterprise/security_response/weblog/2007/08/wordpress_xss_exploit_solves_p.html

---

47. XSS Weblog Worm « Security, Version, Cross-Site, Infos « Latha-Math.com Says:
    August 2nd, 2007 at 10:16

    […] Infos auch hier: this is the first weblog xss worm wordpress zeroday […]

---

48. dhaunsch Says:
    August 2nd, 2007 at 10:55

    Nächtliche Wordpressaktion: Lasst den Wurm los!…

    Sowas gibt es? Ich bin echt baff! Ein Wurm, der neu entdeckte Sicherheitslücken in Wordpress entdeckt und interaktiv mit dem Admin stopft. Klasse. Natürlich erst mal lesen und nicht einfach so den Deckel von Pandoras Brotdose aufplöppen.
    Gefunden be…

---

49. Secure Wordpress with the first Wordpress Worm Says:
    August 2nd, 2007 at 11:00

    […] process requires some faith that the xss worm is really fixing the vulnerabilities but the application itself is easy. About the faith: I have […]

---

50. El gusano benéfico de Wordpress Says:
    August 2nd, 2007 at 11:11

    […] Aqui estan los pasos para parchar: http://mybeni.rootzilla.de/mybeNi/2007/this_is_the_first_weblog_xss_worm/ […]

---

51. Markus Says:
    August 2nd, 2007 at 11:44

    Super Idee mit dem “Wurm”!

---

52. Como solucionar un problema de seguridad en WordPress. Says:
    August 2nd, 2007 at 12:35

    […] no tardaran en sacar una nueva versión, pero para los que no quieran esperar, aquí están las indicaciones para infectar tu blog. […]

---

53. crashkid Says:
    August 2nd, 2007 at 12:36

    Vielen Dank dafuer. Klasse, dass es noch Menschen wie dich gibt, die nicht gleich alles boesartig ausnutzen und versuchen aus allem Profit zu machen. Du bist mein Held des Tages!

---

54. Wordpress Worm that fixes Wordpress | The Sh17 Says:
    August 2nd, 2007 at 02:18

    […] call it a worm since it doesn’t really spread automatically and on its own, but anyway. I saw this on gHacks and thought it was […]

---

55. Sicherheitsl�cke: WordPress Multiple Input Validation / XSS Wordpress Worm - Boardunity Forum Says:
    August 2nd, 2007 at 02:56

    […] Weblog Worm � Security, Version, Cross-Site, Infos � Latha-Math.com This is the first Weblog XSS Worm ~ mybeNi websecurity da geht es schon los […]

---

56. hangy Says:
    August 2nd, 2007 at 03:28

    Ich habe deinen Patch einfach mal vertrauensvoll angemeldet … und wenn das wirklich nur der Code ist, der da Stand, dann kann es ja eigentlich nicht falsch gewesen sein.

    Aber irgendwie hat das mit dem Blogroll nicht so ganz funktioniert … aber egal.

---

57. Wieder mal üble Sicherheitslücken in WordPress auf datenschmutz.net Says:
    August 2nd, 2007 at 06:50

    […] exakt die angesprochenen Exploits, um die notwendigen Updates durchzuführen - er stammt vom Mybeni Blog: It uses the Security vulnerabilities in the latest WordPress Version (2.2.1) to get into your […]

---

58. Evaders99 Says:
    August 2nd, 2007 at 09:54

    Went ahead and rewrote the changes in English, verified them on my Wordpress install
    http://evaders.swrebellion.com/forums/postp401.html#401

    Feel free to use this or the pre-packaged files

---

59. Problemas de seguridad en Wordpress | gEEK tHE pLANET Says:
    August 2nd, 2007 at 11:51

    […] misma persona que reportó y estudio estos 7 bugs se encargó de hacer un XSS WORM […]

---

60. inside GIGALinux // Weblog // Würmer sind immer böse Says:
    August 3rd, 2007 at 03:43

    […] Der erste WordPress-Wurm ist da und er basiert noch auf JavaScript. Dienen soll er dem Erkennen der Sicherheitslücke und das nützliche an dem ist, er patcht es gleich. Super, sicheres WordPress und keine Arbeit. […]

---

61. Wordpress-Wurm ist Security-Patch | Future of News - Deine Hard- und Softwarenews Says:
    August 3rd, 2007 at 10:24

    […] zum Cross Site Scripting und SQL-Injektionen. Ein “Hacker” bzw. Blogbetreiber namens mybeni nutzt genau eine dieser Lücken, um sie zu […]

---

62. Susann Says:
    August 3rd, 2007 at 10:46

    A friendly worm. That´s really a cool idea.
    Eine neue, interaktive Art zu patchen
    Danke !
    Hab festgestellt, dass du nirgends auf chmod hinweist. Falls es nicht klappt und in der upload.php
    kein Eintrag a la

    “/*
    Security Patch added by the Secure Wordpress Worm
    by Benjamin Flesch http://mybeni.rootzilla.de/mybeNi/
    */”
    zu finden ist, kann es daran liegen.

---

63. Ch!LL0uT Says:
    August 3rd, 2007 at 12:58

    thanx, mate!

---

64. WordPress napada XSS crv » Elres Magazin Says:
    August 3rd, 2007 at 05:31

    […] starta WordPress verzije 2.2.1 dodje do otkrivanja sigurnosnih propusta kako nam to demostrira mybeNi websecurity. Naravno da se isplati procitati ovaj tekst iako se u demostraciji radi o jednom […]

---

65. Neue WordPress-Versionen 2.2.2 und 2.0.11 aufgrund Sicherheitslücken — Software Guide Says:
    August 5th, 2007 at 02:47

    […] Flesch auf einige neue Sicherheitslücken in WordPress aufmerksam gemacht und daraufhin sogar einen gutartigen Wurm veröffentlicht, der die Probleme unter Ausnutzung der Sicherheitslücken selbst beheben soll. […]

---

66. Robert Nitsch Says:
    August 6th, 2007 at 05:13

    Ironischerweise validiert der Bot die Daten des Clients selbst nicht genau. Ich kann mir zwar derzeit nicht vorstellen, wie man eine XSS-Attacke daraus machen kann, aber ich halte es für ein Prinzip, dass man per Request Header eingefügte Daten nicht unvalidiert als HTML-Code wieder ausspuckt.
    Ich habe das einfach mal zum Spaß ausprobiert und das bekommen:
    var blogurl = ‘http://alert(1337);.de/’;

    Eine wirkliche XSS-Attacke lässt das offenbar nicht zu… aber wehe irgendjemandem fällt noch was ein und die “Lücke” ist noch offen. :-p

---

67. Robert Nitsch Says:
    August 6th, 2007 at 05:15

    Oh mein Gott, mit Wordpress kann man in Kommentaren ja nicht die überaus wichtigen Zeichen < und > verwenden (diesmal probiere ich es mit Unicode).
    _DAS_ bekam ich:
    <script>var blogurl = ‘http://<script>alert(1337);</script>.de/’;</script>

    Sorry, wenn das nicht klappt, aber der obige Kommentar ist andernfalls vollständig missverständlich.

    MfG, Robert Nitsch

---

68. Robert Nitsch Says:
    August 6th, 2007 at 05:29

    Sorry, ich habe letzte Nacht kaum geschlafen - ich habe in meinem ersten Eintrag vergessen zu sagen, dass ich es mit dem Referer angestellt habe. Also die URL, die man vom “Kommentare moderieren” anklicken soll, die habe ich gefälscht und mit HTML-Code gefüllt. Dieser wird einfach so in die Seite eingesetzt. Wenn möglich, kannst du das ja in den ersten Kommentar einfügen, es tut mir wirklich außerordentlich leid, hier einen dritten Kommentar schreiben zu müssen. Sorry.

---

69. beNi Says:
    August 6th, 2007 at 09:56

    Hey Robert!
    Haha, stimmt XSS soll in den besten Häusern vorkommen

    Und gäbe es noch die Alte Lücke, mit der man per Flash den REFERER spoofen könnte (http://ha.ckers.org/blog/20070203/flash-80-fixes-certain-header-spoofing-issues/)
    wäre das wirklich ausnutzbar gewesen, so bleibt der ganze XSS-Aha Effekt leider nur dir alleine erreichbar :o)

    Nevertheless, du hast gezeigt das du dir Gedanken über meinen Wurm gemacht hast, heads up dafür, mach so weiter und du wirst den “richtige” Treffer noch landen

    Gruß benjamin

---

70. Robert Nitsch Says:
    August 6th, 2007 at 11:09

    Oh, den richtigen Treffer, den habe ich - bilde ich mir ein - bereits gelandet. Nur noch nicht in einer populären Webapplikation wie Wordpress o.ä. (genauer: bisher habe ich mich ausschließlich auf Webseiten konzentriert, also Closed-Source). Ich kann nur sagen, ich liebe die Herausforderung, XSS-Lücken zu finden und zu beweisen, dass sie ausnutzbar sind. Umso mehr freut es mich, dass ich dank sw-guide.de auf diesen Blog gestoßen bin. Deinen Feed habe ich mal abonniert.

    MfG, Robert Nitsch

---

71. ¿Estamos seguros con la nueva versión de WordPress? en Buayacorp - Diseño y Programación Says:
    August 6th, 2007 at 06:51

    […] que los desarrolladores de WordPress le den más importancia a este tipo de reportes, es liberar exploits que hagan uso de éstas […]

---

72. Mike Says:
    August 7th, 2007 at 05:52

    Do you know if any problems will now be caused by updating to version 2.2.2, or did WP just implement your fix?

---

73. ¿Estamos seguros con la nueva versión de WordPress? | TechnoBytes MX Says:
    August 7th, 2007 at 06:08

    […] que los desarrolladores de WordPress le den más importancia a este tipo de reportes, es liberar exploits que hagan uso de éstas […]

---

74. beNi Says:
    August 7th, 2007 at 06:10

    Mike:
    The did implement their own fixes, that means they used the sanitizing-Functions which come with WP.
    Anyway, there may be a few more bugs/errors they have fixed with this release, so better update and get the “original” fixes from the Developers.

---

75. Wordpress: Auf den Wurm folgt das Update! » BODY-SNATCHER’s Blog Says:
    August 27th, 2007 at 02:43

    […] nicht die schöne Versionsnummer (2.2.2) sondern auch das erst von einem Entwickler ein “gutartiger Wurm” veröffentlicht wurde, der diese Sicherheitslücke geschlossen hat. Da das Update […]

---

76. Konzepte Says:
    August 28th, 2007 at 11:33

    Endlich mal ein anständiger Wurm …

---

77. Using a Friendly Worm to Patch WordPress 2.2.1 Vulnerabilities at Gadgets and Gizmos World Says:
    September 11th, 2007 at 06:48

    […] Source […]

---

78. gfjhfj Says:
    November 18th, 2007 at 12:37

    alert (document.cookie)

---

79. heyman Says:
    April 30th, 2009 at 06:23

    lol
    are you mad?
    which idiot believes your kiddy se stuff? loool!

---

80. TÜV SÜD Prüfsiegel & die bösen Sicherheitslücken Says:
    October 30th, 2009 at 01:44

    […] Scripting (XSS) handelt, kann man damit von Session-Hijacking über Phishing bis zu einem XSS-Wurm viele lustige Sachen machen. Vor allem mit einem vertrauenserweckenden https:// in der […]

---

Leave a Reply

Name (required)

Mail (will not be published) (required)

Website