Wer das Jetpack Plug-In in Verbindung mit WordPress einsetzt, sollte schnellstmöglich prüfen, ob dieses Plug-In auf dem aktuellen Stand ist. Ältere Versionen weisen eine gravierende XSS-Sicherheitslücke auf.
Die Sicherheitsspezialisten von WordFence haben mich bereits am Wochenende auf die XSS-Sicherheitslücke im Jetpack Plug-In hingewiesen (ich komme aber erst jetzt dazu, das online zu stellen). In den Jetpack-Versionen bis 4.0.2 gibt es eine “stored XSS-Sicherheitslücke” (siehe Sucuri-Blog).
Problem ist, dass das Jetpack-Plug-In HTML-Objekte parst, ohne dabei die in HTML-Elementen angegebenen Links auf “potentiell gefährliche Inhalte” wie beispielsweise JavaScript-Code zu überprüfen. Dies ermöglicht dann eine “stored XSS”-Sicherheitslücke durch JavaScript-Code auszunutzen. So kann JavaScript-Code, der in Kommentaren im Blog gespeichert wird, im Browser des Benutzers ausgeführt werden. Wenn der WordPress-Administrator diese Kommentare im Browser anzeigt, könnte dies für einen XSS-Angriff ausgenutzt werden. Ein paar Infos finden sich zwischenzeitlich auch bei heise.de. Die Sicherheitslücke wird als “mittel” schwerwiegend eingestuft. In der Jetpack Version 4.0.3 ist die Sicherheitslücke laut Sucuri gefixt.