In der aktuellen Version von WordPress wird eine Cross-Site-Scripting-Lücke (XSS) momentan aktiv für Angriffe ausgenutzt. Das Iconfont Genericons enhält eine Beispieldatei, in der sich die Lücke befindet. Diese Datei wird sowohl für das Plug-in Jetpack als auch beim Standard-Theme Twenty Fifteen verwendet. Die Sicherheitslücke ermöglicht es Angreifern, die WordPress-Installation zu übernehmen. Die Version 4.2.2 soll die Lücke schließen.

Alternativ können Admins die Installation schützen, indem die Datei genericons/example.html im Ordner des Twenty-Fifteen-Themes gelöscht wird. Falls auf der Seite sowieso ein anderes Theme zum Einsatz kommt, kann das betroffene Theme komplett deinstalliert werden. Für das Plugin Jetpack steht ebenfalls eine aktualisierte Version bereit.

(kt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE