Für das CMS WordPress ist Jetpack ein beliebtes Plug-In, mit dem viele Anwender die Geschwindigkeit ihrer WordPress-Seiten optimieren. Allerdings wurde eine Lücke entdeckt, die es Angreifern ermöglicht, schädlichen JavaScript-Code über die Kommentar-Funktion des Blogs einzuschleusen, der die Rechner von Besuchern angreifen kann. Dies wird auch Stored-XSS-Angriff genannt.

Damit diese Art Cross-Site Scripting durchgeführt werden kann, muss die WordPress-Seite allerdings Jetpack installiert haben. Zudem muss das Einbetten von Shortcodes aktiv sein.

WordPress wandelt die Shortcodes, die bestimmte Plaintext-Ausdrücke sind, in HTML-Code um. Bei der Verarbeitung dieser Ausdrücke im entsprechenden Jetpack-Modul kann durch einen Fehler Code eingeschleust werden. Beim Anzeigen der Kommentar-Seite wird dieser dann ausgeführt. Mit Version 4.0.3 haben die Entwickler des Plug-Ins die Lücke geschlossen. Daher sollten WordPress-Admins die neueste Jetpack-Version installiert haben. Das Update kann alternativ auch manuell heruntergeladen werden.

Im Blog der Sicherheitsfirma Sucuri, die den Bug entdeckte, können die Details zu der Lücke nachgelesen werden. Der Bug existiert in dem Plug-In seit Version 2.0, also seit November 2012.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE