zurück zum Artikel

Admins, die das WordPress-Plug-In Jetpack einsetzen, sollten dies so schnell wie möglich updaten. Über eine Lücke können Angreifer Schadcode in Blog-Kommentare einschleusen.

Jetpack ist ein beliebtes Plug-In für das CMS WordPress, mit dem viele Anwender die Geschwindigkeit ihrer WordPress-Seiten optimieren. Eine nun entdeckte Lücke [1] ermöglicht es Angreifern allerdings, schädlichen JavaScript-Code über die Kommentar-Funktion des Blogs einzuschleusen, der die Rechner von Besuchern angreifen kann – ein sogenannter Stored-XSS-Angriff. Um diese Art Cross-Site Scripting durchzuführen, muss die WordPress-Seite allerdings Jetpack installiert haben und das Einbetten von Shortcodes muss aktiv sein.

Shortcodes sind bestimmte Plaintext-Ausdrücke, die von WordPress in HTML-Code umgewandelt werden. Ein Fehler bei der Verarbeitung dieser Ausdrücke im entsprechenden Jetpack-Modul kann missbraucht werden, um Code einzuschleusen. Dieser wird dann beim Anzeigen der Kommentar-Seite ausgeführt. Die Entwickler des Plug-Ins haben die Lücke mit Version 4.0.3 geschlossen. WordPress-Admins sollten sicherstellen, dass Jetpack in der neuesten Version installiert ist. Alternativ können sie das Update auch manuell herunterladen [2].

Details zu der Lücke finden sich bei der Sicherheitsfirma Sucuri [3], die den Bug entdeckte. Er wurde mit Version 2.0 eingebaut und schlummert somit seit November 2012 in dem Plug-In. (fab [4])

URL dieses Artikels:
https://www.heise.de/-3221852

Links in diesem Artikel:
[1] https://jetpack.com/2016/05/27/jetpack-4-0-3-critical-security-update/
[2] http://downloads.wordpress.org/plugin/jetpack.latest-stable.zip
[3] https://blog.sucuri.net/2016/05/security-advisory-stored-xss-jetpack-2.html
[4] mailto:contact@fab.industries

Copyright © 2016 Heise Medien