Schwere Sicherheitslücke in der Blog-Software WordPress
Attacken über die Kommentarfelder: Eine Sicherheitslücke in der Blog-Software WordPress ermöglicht es Angreifern, schädlichen Javascript-Code einzuschleusen. Ein Software-Update ist bereits verfügbar.
Dringendes Update von Word-Press empfohlen
Über 80 Prozent der derzeit genutzten WordPress-Installationen sind durch eine Sicherheitslücke gefährdet – und das vermutlich seit Langem. Der Sicherheitsexperte Jouko Pynnonen warnt auf seiner Website vor einem sogenannten Cross-Site-Scripting (XSS), einem Angriff, für den die Versionen 3.0 bis 3.9.2 anfällig sein sollen. Mit Version 4.0 und 4.0.1 dagegen sei man vor der Attacke gewappnet, bei der unter bestimmten Umständen schädlicher Javascript-Code ausgeführt wird. Das Problem hängt Pynnonen zufolge mit der Formatierungsfunktion wptexturize von WordPress zusammen, die sich aber auf Wunsch abschalten lässt.
Der Finne hat die Sicherheitslücke im September an WordPress gemeldet, er bezeichnet sie als schwerste Lücke seit fünf Jahren.
Sicherheitsupdate 4.01 verfügbar