Cross-Site-Scripting
XSS-Lücke gefährdet WordPress bis Version 4.2.1

Seitenbetreiber, die das Content-Management-System WordPress verwenden, aber auf automatische Updates verzichten, sollten es dringend auf die derzeit neueste Version 4.2.1 aktualisieren. Darauf weist der finnische IT-Sicherheitsspezialist Jouko Pynnönen hin.

Bereits im November 2014 hatte er eine Cross-Site-Scripting-Lücke in WordPress entdeckt, die es einem Angreifer erlaubt, Administratorrechte zu erlangen. Dazu muss er lediglich einen entsprechend manipulierten Kommentar in ein Kommentarfeld der WordPress-Seite einfügen. Es soll sogar möglich sein, den XSS-Exploit selbst bei Kommentaren auszunutzen, die sich noch in Moderation befinden. Wie das Ganze funktioniert, erklärt Pynnönen im YouTube-Video.

Pynnönen wirft den WordPress-Entwicklern vor, seit November jede Kommunikation zu dieser Lücke verweigert zu haben. Erst am 27. April, einen Tag nachdem der Experte Details veröffentlicht hatte, erschien mit WordPress 4.2.1 ein Patch, der die Lücke schließt. Nutzer, die die automatische Aktualisierung aktiviert haben, sind auf der sicheren Seite – alle anderen sollten ihr CMS dringend aktualisieren oder die Kommentarfunktion vorübergehend abschalten. (Quelle: Klikki Oy/db)