XSS-Lücke im WordPress-Plug-In Jetpack
Admins, die das WordPress-Plug-In Jetpack einsetzen, sollten dies so schnell wie möglich updaten. Über eine Lücke können Angreifer Schadcode in Blog-Kommentare einschleusen.
Jetpack ist ein beliebtes Plug-In für das CMS WordPress, mit dem viele Anwender die Geschwindigkeit ihrer WordPress-Seiten optimieren. Eine nun entdeckte Lücke ermöglicht es Angreifern allerdings, schädlichen JavaScript-Code über die Kommentar-Funktion des Blogs einzuschleusen, der die Rechner von Besuchern angreifen kann – ein sogenannter Stored-XSS-Angriff. Um diese Art Cross-Site Scripting durchzuführen, muss die WordPress-Seite allerdings Jetpack installiert haben und das Einbetten von Shortcodes muss aktiv sein.
Shortcodes sind bestimmte Plaintext-Ausdrücke, die von WordPress in HTML-Code umgewandelt werden. Ein Fehler bei der Verarbeitung dieser Ausdrücke im entsprechenden Jetpack-Modul kann missbraucht werden, um Code einzuschleusen. Dieser wird dann beim Anzeigen der Kommentar-Seite ausgeführt. Die Entwickler des Plug-Ins haben die Lücke mit Version 4.0.3 geschlossen. WordPress-Admins sollten sicherstellen, dass Jetpack in der neuesten Version installiert ist. Alternativ können sie das Update auch manuell herunterladen.
Details zu der Lücke finden sich bei der Sicherheitsfirma Sucuri, die den Bug entdeckte. Er wurde mit Version 2.0 eingebaut und schlummert somit seit November 2012 in dem Plug-In.
Quelle: http://heise.de/-3221852
Suche
Kategorien
- Brexit: IT-Branche bedauert Austritt der Briten aus der EU Freitag, 24. Juni 2016
- Google veröffentlicht Riesen-Patch-Paket für Android Freitag, 20. Januar 2017
- AVM entweicht geheimer FritzBox-Schlüssel Sonntag, 13. November 2016
- Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer Freitag, 24. Juni 2016
- Upgrade auf Windows 10: Drückermethode wird noch aggressiver Dienstag, 31. Mai 2016
- Ho Ho Ho! Frohes Fest Freitag, 24. Dezember 2021
- Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen Montag, 13. Dezember 2021
- Bericht: Android-Trojaner GriftHorse kassiert bei über 10 Millionen Opfern ab Samstag, 2. Oktober 2021
- Achtung, dringender Handlungsbedarf: Ist Ihre UTM Firmware auf dem neuesten Stand? Dienstag, 21. September 2021
- Jetzt patchen! Kritische Lücke bedroht WordPress 3.7 bis 5.7 Mittwoch, 19. Mai 2021
- Fahed Fatnassi: Das Gerät vereint einen leistungsst... Montag, 30. Mai 2016
- Ralf Küpper: geiles Bild aber die Speaker sind s... Montag, 30. Mai 2016
- Detlef: Professionelle Beratung. Man nahm s... Montag, 30. Mai 2016
- netzwerkstudio: Hochwertig verarbeitet, modular und... Montag, 30. Mai 2016
- netzwerkstudio: Hervorragende Verarbeitung, sehr mo... Montag, 30. Mai 2016