In dem mehr als eine Million mal installierten WordPress-Plugin Jetpack schlummert eine Cross-Site-Scripting-Lücke: Über einen Kommentar, der einen entsprechend manipulierten Shortcode enthält, könnte ein Angreifer JavaScript-Code in eine Website einschleusen. Damit ließen sich zum Beispiel Administratorkonten kapern oder Besucher ungebeten auf andere Websites umleiten.
Website Security: Jetpack-Plugin macht WordPress angreifbar
Sicherheitsanbieter Sucuri, dessen Mitarbeiter in einem aktuellen Blogeintrag auf die Lücke hinweisen, hat das Jetpack-Modul „Shortcode Embeds“ als Gefahrenherd ausgemacht: Wer dieses Modul nicht aktiviert hat, ist von der Lücke nicht betroffen. Die eben erschienene Version 4.0.3 des Jetpack-Plugins enthält die Schwachstelle nicht mehr, betroffene Seitenbetreiber können die Lücke mit dem Update schließen. (Quelle: Sucuri/db)
