WordPress: XSS-Sicherheitslücke in Jetpack Plug-In

Wer das Jetpack Plug-In in Verbindung mit WordPress einsetzt, sollte schnellstmöglich prüfen, ob dieses Plug-In auf dem aktuellen Stand ist. Ältere Versionen weisen eine gravierende XSS-Sicherheitslücke auf.


Anzeige

Die Sicherheitsspezialisten von WordFence haben mich bereits am Wochenende auf die XSS-Sicherheitslücke im Jetpack Plug-In hingewiesen (ich komme aber erst jetzt dazu, das online zu stellen). In den Jetpack-Versionen bis 4.0.2 gibt es eine “stored XSS-Sicherheitslücke” (siehe Sucuri-Blog).

Problem ist, dass das Jetpack-Plug-In HTML-Objekte parst, ohne dabei die in HTML-Elementen angegebenen Links auf “potentiell gefährliche Inhalte” wie beispielsweise JavaScript-Code zu überprüfen. Dies ermöglicht dann eine “stored XSS”-Sicherheitslücke durch JavaScript-Code auszunutzen. So kann JavaScript-Code, der in Kommentaren im Blog gespeichert wird, im Browser des Benutzers ausgeführt werden. Wenn der WordPress-Administrator diese Kommentare im Browser anzeigt, könnte dies für einen XSS-Angriff ausgenutzt werden. Ein paar Infos finden sich zwischenzeitlich auch bei heise.de. Die Sicherheitslücke wird als “mittel” schwerwiegend eingestuft. In der Jetpack Version 4.0.3 ist die Sicherheitslücke laut Sucuri gefixt.


Anzeige


Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit JetPack, Plugin, Sicherheit, WordPress verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu WordPress: XSS-Sicherheitslücke in Jetpack Plug-In


  1. Anzeige
  2. Pingback: Anonymous

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.