wordpress-logo-hoz-rgb

Der Sicherheitsanbieter Sucuri weist in einem Blogeintrag auf eine Sicherheitslücke im weit verbreiteten WordPress-Plug-in Jetpack hin. WordPress-basierte Websites, die die Erweiterung nutzen, sind anfällig für Cross-Site-Scripting (XSS). Ein Patch steht inzwischen zur Verfügung.

Jetpack bietet Funktionen zur Optimierung und Verwaltung von Websites. Es wird von Automattic entwickelt, das hinter WordPress.com und dem Open-Source-Projekt WordPress steht. Das Plug-in hat mehr als eine Millionen aktive Installationen.

Die XSS-Lücke lässt sich Sucuri zufolge „sehr leicht“ über WordPress-Kommentare ausnutzen. Ein Angreifer könnte also einen Kommentar hinterlassen, der Shortcode enthält, um JavaScript-Code in eine anfällige Website einzuschleusen. „Da es eine XSS-Anfälligkeit ist, könnte ein Angreifer Administrator-Konten entführen, SEO-Spam einfügen und Besucher auf gefährliche Websites umleiten“, heißt es im Sucuri-Blog.

Ein Risiko besteht allerdings nur für Seiten, die das Jetpack-Modul „Shortcode Embeds“ aktiviert haben. „Wenn Sie es nicht auf Ihrer Seite nutzen, dann sind Sie nicht von diesem Problem betroffen.

(Quelle: www.zdnet.de)