WordPress: XSS-Sicherheitslücke in Jetpack Plug-In

Publiziert am 31. Mai 2016 von Günter Born

Wer das Jetpack Plug-In in Verbindung mit WordPress einsetzt, sollte schnellstmöglich prüfen, ob dieses Plug-In auf dem aktuellen Stand ist. Ältere Versionen weisen eine gravierende XSS-Sicherheitslücke auf.

Anzeige

Die Sicherheitsspezialisten von WordFence haben mich bereits am Wochenende auf die XSS-Sicherheitslücke im Jetpack Plug-In hingewiesen (ich komme aber erst jetzt dazu, das online zu stellen). In den Jetpack-Versionen bis 4.0.2 gibt es eine "stored XSS-Sicherheitslücke" (siehe Sucuri-Blog).

Problem ist, dass das Jetpack-Plug-In HTML-Objekte parst, ohne dabei die in HTML-Elementen angegebenen Links auf "potentiell gefährliche Inhalte" wie beispielsweise JavaScript-Code zu überprüfen. Dies ermöglicht dann eine "stored XSS"-Sicherheitslücke durch JavaScript-Code auszunutzen. So kann JavaScript-Code, der in Kommentaren im Blog gespeichert wird, im Browser des Benutzers ausgeführt werden. Wenn der WordPress-Administrator diese Kommentare im Browser anzeigt, könnte dies für einen XSS-Angriff ausgenutzt werden. Ein paar Infos finden sich zwischenzeitlich auch bei heise.de. Die Sicherheitslücke wird als "mittel" schwerwiegend eingestuft. In der Jetpack Version 4.0.3 ist die Sicherheitslücke laut Sucuri gefixt.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu WordPress: XSS-Sicherheitslücke in Jetpack Plug-In

  1. Pingback: Anonymous

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.