Flaw in der populären WordPress-Plug-in Jetpack setzt über eine Million Websites gefährdet

Flaw in der populären Wordpress-Plug-in Jetpack setzt über eine Million Websites gefährdet

Eigentümer von WordPress-basierte Websites sollten das Jetpack Plug-in so schnell wie möglich aktualisiert werden, da ein schwerwiegender Fehler, die ihre Nutzer zu Angriffen aussetzen könnte.

Jetpack ist ein beliebtes Plug-In bietet kostenlose Website-Optimierung, Management und Sicherheitsfunktionen. Es wurde von Automattic, das Unternehmen hinter WordPress.com und die WordPress-Open-Source-Projekt entwickelt und verfügt über mehr als 1 Million aktive Installationen.

Die Forscher von Web-Sicherheitsfirma Sucuri eine gespeicherte Cross-Site-Scripting gefunden haben ( XSS), die alle Jetpack Versionen seit 2012 betroffen sind, beginnend mit Version 2.0

[auch auf ITworld. Low und keine Kosten-Möglichkeiten, um die IT-Sicherheit zu lernen. , Dokumente, Tweets und andere Ressourcen in ihrem Inhalt]

Das Problem in der Shortcode bettet Jetpack-Modul befindet sich die Benutzer externe Videos, Bilder einbetten können. Es kann leicht ausgenutzt werden, um bösartige JavaScript-Code in Kommentaren zu injizieren.

Da der JavaScript-Code persistent ist, wird es im Rahmen der betroffenen Website im Browser des Benutzers ausgeführt werden sollen, jedesmal wenn sie den schädlichen Kommentar anzuzeigen. Dies kann dazu verwendet werden, um ihre Authentifizierungs-Cookies zu stehlen, einschließlich der Sitzung des Administrators; umleiten Besucher zu Exploits oder Suchmaschinen-Optimierung (SEO) Spam zu injizieren.

„Die Verletzlichkeit leicht über wp-Kommentare ausgenutzt werden können und wir jedem empfehlen, so schnell wie möglich zu aktualisieren, falls Sie es noch nicht getan haben, „, sagte Sucuri Forscher Marc-Alexandre Montpas in einem Blog-Post.

Sites, die aktiviert nicht die Shortcode haben bettet Modul nicht betroffen sind, aber dieses Modul bietet beliebte Funktionalität so viele Websites sind wahrscheinlich, es zu haben aktiviert ist.

Jetzt beobachten Wie sie Windows 10 im abgesicherten Modus (01.35) mit den Chroma-und Libellen-Drohnen Winging eingeben

die Jetpack-Entwickler haben mit der WordPress-Sicherheitsteam zu schieben Updates für alle betroffenen Versionen durch die bearbeitete WordPress-Kern auto-Update-System. Jetpack Versionen 4.0.3 oder neuer enthalten das Update.

Falls Nutzer wollen nicht auf die neueste Version zu aktualisieren, haben die Jetpack-Entwickler auch Point-Releases freigegeben für alle einundzwanzig verletzlich Zweige des Jetpack Code-Basis: 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6.2, 3.7.3, 3.8.3, 3.9.7 und 4.0.3.

Zusammenhängende Posts:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.