Millionen Seiten im Internet sind durch eine gravierende Sicherheitslücke in der Blog- und CMS-Software WordPress gefährdet. Der finnische Sicherheitsexperte Jouko Pynnonen berichtete, dass die Lücke das Einschleusen von schädlichem Javascript-Code über Kommentarfelder erlaubt. Das wird im Wesentlichen durch die Formatierungsfunktion wptexturize() ermöglicht.
Diese Cross-Site-Scripting (XSS)-Lücke findet sich danach in den Versionen 3.0 bis 3.9.2, die heute noch 86 Prozent der aktiven Installationen abdecken. Die aktuelleren Versionen ab 4.0 sind hingegen nicht angreifbar. Trotzdem hat WordPress ein umfangreiches Sicherheitsupdate veröffentlicht, das auch andere gefährliche Lücken schließt.
Eine genauere Beschreibung der Arbeitsweise finden Sie auch bei Golem.
