Jetpack ist ein beliebtes Plug-in für WordPress, welches das Management der Seiten vereinfacht und unter anderem Besucherstatistiken und ein zentrales Dashboard bietet. Der Sicherheitsanbieter Sucuri hat im Modul „Shortcode Embeds“ von Jetpack eine Lücke festgestellt.
Im Ergebnis können per WordPress-Kommentar kleine Codes eingefügt werden, die beispielsweise in der Lage sind, „Administrator-Accounts zu kapern, die betroffene Seite mit SEO-Spam zu versehen und Besucher auf schädliche Websites umzuleiten“, heißt es im entsprechenden Blogbeitrag. Ein offenes Tor für Cross-Site-Scripting, das dringend geschlossen werden sollte. Gefährdet sind alle Nutzer, bei denen das Modul „Shortcode Embeds“ aktiviert ist.
Jetpack werde momentan auf über einer Millionen WordPress-Seiten eingesetzt. Die Empfehlung: Update durchführen und das so schnell wie möglich.
In der neuesten Variante wird Version 4.0.3 nahegelegt, die auch über die Update-Funktion von WordPress verteilt wird. Bei Jetpack heißt es dazu: „Wir haben festgestellt, dass deine Seiten-Konfiguration verhindern könnte, dass du das momentan so durchführst. Für diese Fälle bieten wir individuelle Sicherheits-Updates für verschiedene Vorgängerversionen, die die Setups der jeweiligen Version beibehalten und dabei trotzdem die Sicherheitslücken schließen.“
Wer also frühere Versionen nutzt und aktuell nicht auf 4.0.3 upgraden will oder kann, muss Folgendes beachten: Mit den ersten beiden Zahlen der eigenen Version findet man in der folgenden Liste zunächst das relevante Update. Ist die eigene dritte Zahl dann kleiner als die der hier gegebenen Version, muss ein Update erfolgen.
Einfacher ausgedrückt: Wer zum Beispiel Version 3.5.1 besitzt, muss hoch auf 3.5.4. Wer über 3.6.1 verfügt, braucht 3.6.2. Und so weiter …
- 2.0.7
- 2.1.5
- 2.2.8
- 2.3.8
- 2.4.5
- 2.5.3
- 2.6.4
- 2.7.3
- 2.8.3
- 2.9.4
- 3.0.4
- 3.1.3
- 3.2.3
- 3.3.4
- 3.4.4
- 3.5.4
- 3.6.2
- 3.7.3
- 3.8.3
- 3.9.7
- 4.0.3
Euer Jens
Bildquelle Vorschau und Titel: Pixabay