Wer das Jetpack Plug-In in Verbindung mit WordPress einsetzt, sollte schnellstmöglich prüfen, ob dieses Plug-In auf dem aktuellen Stand ist. Ältere Versionen weisen eine gravierende XSS-Sicherheitslücke auf.
Anzeige
Die Sicherheitsspezialisten von WordFence haben mich bereits am Wochenende auf die XSS-Sicherheitslücke im Jetpack Plug-In hingewiesen (ich komme aber erst jetzt dazu, das online zu stellen). In den Jetpack-Versionen bis 4.0.2 gibt es eine "stored XSS-Sicherheitslücke" (siehe Sucuri-Blog).
Problem ist, dass das Jetpack-Plug-In HTML-Objekte parst, ohne dabei die in HTML-Elementen angegebenen Links auf "potentiell gefährliche Inhalte" wie beispielsweise JavaScript-Code zu überprüfen. Dies ermöglicht dann eine "stored XSS"-Sicherheitslücke durch JavaScript-Code auszunutzen. So kann JavaScript-Code, der in Kommentaren im Blog gespeichert wird, im Browser des Benutzers ausgeführt werden. Wenn der WordPress-Administrator diese Kommentare im Browser anzeigt, könnte dies für einen XSS-Angriff ausgenutzt werden. Ein paar Infos finden sich zwischenzeitlich auch bei heise.de. Die Sicherheitslücke wird als "mittel" schwerwiegend eingestuft. In der Jetpack Version 4.0.3 ist die Sicherheitslücke laut Sucuri gefixt.
Anzeige
