Der IT-Sicherheitsspezialist Jouko Pynnönen aus Finnland hat gestern auf der Mailingliste Full Disclosure Details zu einer Cross-Site-Scripting(XSS)-Lücke in der Blogsoftware WordPress veröffentlicht.
Mit einfachen Kommentaren können böswilliger Nutzer durch diese Lücke Javascript-Code auf der Seite unterbringen und damit beispielsweise den Zugang eines Administrators übernehmen.
Im Beitragsbild ist zu sehen, wie einfach man das machen kann. Der Javascript-Code öffnet ein Fenster, in dem dann “hello world” zu lesen ist.
Als angreifbar bekannt sind die WordPress-Versionen 4.2, 4.1.3, 4.1.2, 4.1.1 und 3.9.3 mit MySQL 5.1.53 und 5.5.41.
Bis zum Erscheinen eines Patches kann man sich schützen, indem man die Kommentare einzeln prüft, bevor man sie dann freigibt. Natürlich hilft auch das vollständige Abschalten der Kommentarfunktion als ultimates Mittel gegen das Problem.
