Sicherheitsleck: Jetpack unbedingt auf Version 4.0.3 updaten!

(Screenshot: Jetpack by WordPress)

Wie Sucuri Security – ein Antivirus- und Sicherheitsanbieter für Websites – diese Woche festgestellt hat, ist das Plugin Jetpack von einer erheblichen Sicherheitslücke betroffen:

Diese XSS-Sicherheitslücke findet sich in der Kommentarfunktion (wp-comments) von WordPress: Wer in seinem Jetpack die Funktion der Shortcode-Einbettung aktiviert hat, sollte – wenn nicht schon geschehen – schnellstmöglich auf die Version 4.0.3 updaten!

Screenshot Jetpack Einstellungen "Shortcode-Einbettungen"

Screenshot Jetpack Shortcode-Einbettungen

Cross-Site Scripting (= XSS) ist eine weitverbreitete Sicherheitslücke, die es Angreifern erlaubt, unbemerkt und gut versteckt Schadcode auf eine Internetseite zu importieren, indem sie entsprechende Shortcodes in den Kommentaren hinterlassen. Die Shortcodes werden dann beim Aufrufen der infizierten Internetseite vom Browser ausgeführt.

Screenshot Jetpack für WordPress: Shortcode-Einbettungen

Screenshot Jetpack für WordPress: Shortcode-Einbettungen

Damit können problemlos Admin-Accounts gehackt und SEO-Spam eingefügt werden. Besucher der betroffenen Site werden außerdem auf verseuchte (Maleware)-Websites weitergeleitet.

Jetpack ist eines der beliebtesten Plugins für WordPress und ist mittlerweile auf über einer Million WordPress-Webseiten aktiv installiert!

Wer die Shortcode-Einbettung nicht nutzt und deaktiviert hat, ist laut Sucuri nicht gefährdet!



Hinterlasse eine Antwort