In dem mehr als eine Million mal installierten WordPress-Plugin Jetpack schlummert eine Cross-Site-Scripting-Lücke: Über einen Kommentar, der einen entsprechend manipulierten Shortcode enthält, könnte ein Angreifer JavaScript-Code in eine Website einschleusen. Damit ließen sich zum Beispiel Administratorkonten kapern oder Besucher ungebeten auf andere Websites umleiten.
Sicherheitsanbieter Sucuri, dessen Mitarbeiter in einem aktuellen Blogeintrag auf die Lücke hinweisen, hat das Jetpack-Modul „Shortcode Embeds“ als Gefahrenherd ausgemacht: Wer dieses Modul nicht aktiviert hat, ist von der Lücke nicht betroffen. Die eben erschienene Version 4.0.3 des Jetpack-Plugins enthält die Schwachstelle nicht mehr, betroffene Seitenbetreiber können die Lücke mit dem Update schließen. (Quelle: Sucuri/db)