In der Blog- und CMS-Software WordPress ist eine weitere, gefährliche „Cross-Site-Scripting“ (XSS) Lücke entdeckt worden: Angreifer können über die Sicherheitslücke Javascript-Code einschleusen und Zugriff auf das Admin-Interface bekommen, wenn der aktuell angemeldete User ebenfalls Admin-Rechte hatte. Die gefährliche Sicherheitslücke befindet sich in einer Datei in dem automatisch mitgelieferten Theme – zusätzlich auch noch als Teil eines sehr beliebten Plugins.
Wer das beiliegende Standard-Theme ausgewählt hat oder das Plugin aktiviert hat, ist für die Cross-Site-Scripting“ (XSS)-Lücke anfällig und sollte schnell handeln, so der Sicherheitsforscher David Dede. Sowohl das Standard-Theme „Twenty Fifteen“, aber auch das 2014er Theme „Twenty Fourteen“ als auch das Jetpack-Plugin enthalten einen Ordner „genericons“, in dem sich die Datei „example.html“ befindet: Laut David Dede reicht es bereits aus, diese Beispieldatei aus dem Ordner zu löschen, um sein WordPress-System zumindest gegen die aktuelle Sicherheitslücke abzusichern.
Zusätzlich sollte man sein WordPress auf die aktuelle Version 4.2.2 aktualisieren, da in älteren Versionen noch weitere Sicherheitslücken gefunden wurden, die mit der aktuellen Version Ende April geschlossen wurden. Ein Update des WordPress-Systems lässt sich direkt aus dem Admin-Bereich durchführen, indem man auf den Hinweis zum Versions-Update oben auf jeder Seite im Admin-Bereich klickt:
Betroffen von der aktuellen Sicherheitslücke sind sehr viele Webseiten: Alleine das Jetpack-Plugin soll laut Dede über eine Million Nutzer haben. Neben dem ebenfalls betroffenen Standard-Theme, das mit jeder neuen WordPress-Installation ausgeliefert sind, könnten noch deutlich mehr, bisher nicht entdeckte Plugins angreifbar sein: Alle Dateien, die das „genericons“-Paket mit der unsicheren example.html Datei benutzen, könnten potentiell angreifbar sein, solange die Datei nicht gelöscht wurde.