Viele WordPress Plugins sind mit Cross Site Scripting (XSS) angreifbar weil im Code add_query_arg() und remove_query_arg() Funktionen falsch verwendet wurden. Diese Funktionen sind in WordPress Erweiterungen oft von Entwicklern verwendet worden um Query Strings zu bearbeiten und hinzuzufügen.
Da die offizielle WordPress Dokumentation (Codex) diese Funktionen nicht ausreichend klar dokumentiert hat wurden sie von Entwicklern oft in einer unseren Weise implementiert. Die Entwickler sind davon ausgegangen dass die Benutzereingabe normalisiert wird, was aber nicht der Fall ist – dies führte dann zu der Angreifbarkeit für XSS.
Eine (unvollständige) Liste von betroffenen Plugins:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Multiple iThemes products including Builder and Exchange
- Broken-Link-Checker
- Ninja Forms
Wie immer sollten die entsprechenden Plugins so bald wie möglich aktualisiert werden.
Wenn Sie sicher sein wollen dass Ihre WordPress Installation immer aktuell ist und Sicherheitslücken so bald wie möglich geschlossen werden sollten Sie ein WordPress Service Abonnement in Betracht ziehen.
Bei Fragen können Sie uns gerne kontaktieren.
