Das WordPress-Plugin Jetpack hat mehr als eine Million aktive Installationen. Das kostenlose Tool-Paket von den WordPress-Entwicklern Automattic erweitert Blogs und Websites um Website-Optimierungen sowie Management- und Sicherheitsfunktionen. Wer Jetpack nutzt, sollte dringend ein Update auf die neueste Version des Plugins durchführen.
Sicherheitsforscher der Web-Sicherheitsfirma Sucuri haben in Jetpack eine “Cross-Site Scripting (XSS)”-Lücke entdeckt. Sie betrifft alle Jetpack-Release ab 2012 und ab Version 2.0. Die Sicherheitslücke versteckt sich im Shortcode-Embeds-Modul, das Nutzern das Einbinden von Videos, Bildern und anderen Inhalten erlaubt. Die Lücke kann dazu genutzt werden, schadhaften JavaScript-Code in die Kommentare zu injizieren. Dieser JavaScript-Code wird dann im Browser der Nutzer ausgeführt, wenn sie den Kommentar mit dem Schadcode betrachten. Dritte könnten darüber unter anderem Authentifizierungs-Cookies mit der Administrator-Session stehlen. Im Anschluss können sie Nutzer zu Exploits weiterleiten oder SEO-Spam aufspielen. WordPress-Nutzer, die das Shortcode-Embeds-Modul von Jetpack nicht aktiviert haben, sind nicht in Gefahr. Da dieses Modul jedoch sehr beliebt ist, gehen die Sicherheitsforscher davon aus, dass ein Großteil der Nutzer direkt von der Sicherheitslücke betroffen ist. Die Jetpack Entwickler haben in den vergangenen Wochen zusammen mit dem WordPress-Sicherheitsteam mit Hochdruck an der Veröffentlichung neuer Jetpack-Versionen gearbeitet. Ab Jetpack Version 4.0.3 wurde die Lücke behoben. WordPress: So passen Sie Ihr Theme grundlegend an
Autor: Denise Bergert, Autorin
Denise Bergert schreibt seit 2011 als freie IT-Journalistin für pcwelt.de. Ihre Themenschwerpunkte sind Smartphones, Internet, Gaming, Gadgets, Filme, Serien und Security.