2199558

Jetpack: Schwere Lücke in Wordpress-Plugin

31.05.2016 | 14:17 Uhr |

Sicherheitsforscher haben eine schwere Lücke im Wordpress-Plugin Jetpack entdeckt. Nutzer sollten dringend updaten.

Das Wordpress-Plugin Jetpack hat mehr als eine Million aktive Installationen. Das kostenlose Tool-Paket von den Wordpress-Entwicklern Automattic erweitert Blogs und Websites um Website-Optimierungen sowie Management- und Sicherheitsfunktionen. Wer Jetpack nutzt, sollte dringend ein Update auf die neueste Version des Plugins durchführen.

Sicherheitsforscher der Web-Sicherheitsfirma Sucuri haben in Jetpack eine "Cross-Site Scripting (XSS)"-Lücke entdeckt. Sie betrifft alle Jetpack-Release ab 2012 und ab Version 2.0. Die Sicherheitslücke versteckt sich im Shortcode-Embeds-Modul, das Nutzern das Einbinden von Videos, Bildern und anderen Inhalten erlaubt. Die Lücke kann dazu genutzt werden, schadhaften JavaScript-Code in die Kommentare zu injizieren.

Dieser JavaScript-Code wird dann im Browser der Nutzer ausgeführt, wenn sie den Kommentar mit dem Schadcode betrachten. Dritte könnten darüber unter anderem Authentifizierungs-Cookies mit der Administrator-Session stehlen. Im Anschluss können sie Nutzer zu Exploits weiterleiten oder SEO-Spam aufspielen.

Wordpress-Nutzer, die das Shortcode-Embeds-Modul von Jetpack nicht aktiviert haben, sind nicht in Gefahr. Da dieses Modul jedoch sehr beliebt ist, gehen die Sicherheitsforscher davon aus, dass ein Großteil der Nutzer direkt von der Sicherheitslücke betroffen ist.

Die Jetpack Entwickler haben in den vergangenen Wochen zusammen mit dem Wordpress-Sicherheitsteam mit Hochdruck an der Veröffentlichung neuer Jetpack-Versionen gearbeitet. Ab Jetpack Version 4.0.3 wurde die Lücke behoben.

Wordpress: So passen Sie Ihr Theme grundlegend an

0 Kommentare zu diesem Artikel
2199558