![\"\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/07\/wp_thumb.jpg\")
Wer das Jetpack Plug-In in Verbindung mit WordPress einsetzt, sollte schnellstm\u00f6glich pr\u00fcfen, ob dieses Plug-In auf dem aktuellen Stand ist. \u00c4ltere Versionen weisen eine gravierende XSS-Sicherheitsl\u00fccke auf.<\/p>\nWer das Jetpack Plug-In in Verbindung mit WordPress einsetzt, sollte schnellstm\u00f6glich pr\u00fcfen, ob dieses Plug-In auf dem aktuellen Stand ist. \u00c4ltere Versionen weisen eine gravierende XSS-Sicherheitsl\u00fccke auf.<\/p>\n
<\/p>\n
Die Sicherheitsspezialisten von WordFence haben mich bereits am Wochenende auf die XSS-Sicherheitsl\u00fccke im Jetpack Plug-In hingewiesen (ich komme aber erst jetzt dazu, das online zu stellen). In den Jetpack-Versionen bis 4.0.2 gibt es eine \"stored XSS-Sicherheitsl\u00fccke\" (siehe Sucuri-Blog<\/a>). <\/p>\n Problem ist, dass das Jetpack-Plug-In HTML-Objekte parst, ohne dabei die in HTML-Elementen angegebenen Links auf \"potentiell gef\u00e4hrliche Inhalte\" wie beispielsweise JavaScript-Code zu \u00fcberpr\u00fcfen. Dies erm\u00f6glicht dann eine \"stored XSS\"-Sicherheitsl\u00fccke durch JavaScript-Code auszunutzen. So kann JavaScript-Code, der in Kommentaren im Blog gespeichert wird, im Browser des Benutzers ausgef\u00fchrt werden. Wenn der WordPress-Administrator diese Kommentare im Browser anzeigt, k\u00f6nnte dies f\u00fcr einen XSS-Angriff ausgenutzt werden. Ein paar Infos finden sich zwischenzeitlich auch bei heise.de<\/a>. Die Sicherheitsl\u00fccke wird als \"mittel\" schwerwiegend eingestuft. In der Jetpack Version 4.0.3 ist die Sicherheitsl\u00fccke laut Sucuri<\/a> gefixt. <\/p>\n","protected":false},"excerpt":{"rendered":" Wer das Jetpack Plug-In in Verbindung mit WordPress einsetzt, sollte schnellstm\u00f6glich pr\u00fcfen, ob dieses Plug-In auf dem aktuellen Stand ist. \u00c4ltere Versionen weisen eine gravierende XSS-Sicherheitsl\u00fccke auf.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[4492,2769,4328,4349],"class_list":["post-177825","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-jetpack","tag-plugin","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/177825","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=177825"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/177825\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=177825"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=177825"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=177825"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}