In einer ganzen Reihe häufig eingesetzter WordPress Plugins sind letzte Woche XSS Sicherheitslücken gefunden worden. Die Ursache, wie es dazu kommen konnte, liegt an einer schlecht dokumentieren Funktion der WordPress-API, welche somit fehlerhaft verwendet worden. Die ersten Updates der PlugIn Hersteller sind bereits in Arbeit und mitunter auch schon erschienen.
Betroffen sind u.a. folgende PlugIns:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Multiple iThemes products including Builder and Exchange
- Broken-Link-Checker
- Ninja Forms
Umgehend kam nun auch ein Update von WordPress raus, welches die Sicherheitslücke schließt. Ebenso gibt es Patches für ältere Versionen.
Links:
- http://klikki.fi/adv/wordpress2.html
- http://www.golem.de/news/cross-site-scripting-zahlreiche-wordpress-plugins-verwenden-funktion-fehlerhaft-1504-113636.html
- https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html
- http://www.heise.de/security/meldung/Angreifer-koennen-aktuelle-WordPress-Versionen-kapern-2622268.html
- https://wordpress.org/news/2015/04/wordpress-4-2-1/