XSS-Lücke im WordPress Plugin Jetpack

von | Jun 2, 2016 | IT Sicherheit |

Das beliebte WordPress Plugin Jetpack, das Inhabern selbstgehosteter WordPress-Installationen die Funktionen der WordPress.com Plattform zur Verfügung stellt und so die Performance der jeweiligen Sites verbessert, …

Das beliebte WordPress Plugin Jetpack, das Inhabern selbstgehosteter WordPress-Installationen die Funktionen der WordPress.com Plattform zur Verfügung stellt und so die Performance der jeweiligen Sites verbessert, weist ein Cross-Site-Scripting Lücke auf, mit der über die Kommentarfunktion Schadecode in die Blogs eingeschleust wird. Es handelt sich dabei um einen sogenannten Stored-XSS-Angriff, bei dem die Rechner von Besuchern angegriffen werden können. Betroffen sind nur WordPress Installationen, die Jetpack installiert und das Einbetten von Shortcodes aktiviert haben.

Die Lücke wurde in der aktuellen Version 4.0.3 des Plugins geschlossen. Wir empfehlen daher dringend auf die neueste Version von Jetpack upzudaten.

a

Textquellen & Links

Hier finden Sie mehr Infos zur Lücke und der gepatchten Version:
jetpack.com

a