Admins, die das WordPress-Plug-In Jetpack einsetzen, sollten dies so schnell wie möglich updaten. Über eine Lücke können Angreifer Schadcode in Blog-Kommentare einschleusen.

Jetpack ist ein beliebtes Plug-In für das CMS WordPress, mit dem viele Anwender die Geschwindigkeit ihrer WordPress-Seiten optimieren. Eine nun entdeckte Lücke ermöglicht es Angreifern allerdings, schädlichen JavaScript-Code über die Kommentar-Funktion des Blogs einzuschleusen, der die Rechner von Besuchern angreifen kann – ein sogenannter Stored-XSS-Angriff. Um diese Art Cross-Site Scripting durchzuführen, muss die WordPress-Seite allerdings Jetpack installiert haben und das Einbetten von Shortcodes muss aktiv sein.

Shortcodes sind bestimmte Plaintext-Ausdrücke, die von WordPress in HTML-Code umgewandelt werden. Ein Fehler bei der Verarbeitung dieser Ausdrücke im entsprechenden Jetpack-Modul kann missbraucht werden, um Code einzuschleusen. Dieser wird dann beim Anzeigen der Kommentar-Seite ausgeführt. Die Entwickler des Plug-Ins haben die Lücke mit Version 4.0.3 geschlossen. WordPress-Admins sollten sicherstellen, dass Jetpack in der neuesten Version installiert ist. Alternativ können sie das Update auch manuell herunterladen.

Details zu der Lücke finden sich bei der Sicherheitsfirma Sucuri, die den Bug entdeckte. Er wurde mit Version 2.0 eingebaut und schlummert somit seit November 2012 in dem Plug-In.

Quelle: http://heise.de/-3221852