Sicherheitslücke bei WordPress Plugin: Jetpack

jetpack vulnerability sicherheitslücke

Aktuell wurde uns eine Sicherheitslücke bei dem beliebten WordPress Plugin Jetpack by automattic gemeldet. Was zu tun ist, Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– über 10.000 frei verfügbare Themes sowie 50.000+ frei nutzbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt, solche Sicherheitslücken aufzudecken, damit diese behoben werden können.

 

Das WordPress-Plugin – Jetpack by automattic

Erstelle und personalisiere deine WordPress-Website von Anfang bis Ende. Jetpack bietet viele Funktionen. Design, Marketing und Sicherheit völlig stressfrei – alles an einem Ort. Jetpack bringt hunderte professionelle Themes für jede Art von Website mit, ermöglicht dir eine schnelle Bereitstellung von Bildern und Videoinhalten, sowie verzögertes Laden von Bildern für eine schnellere Anzeige auf Mobilgeräten und Integration der offiziellen mobilen WordPress-Apps. Außerdem kannst du mit dem Plugin die Performance deiner Webseite messen, Ads schalten und musst dir keine Sorgen um Datenverlust, Ausfallzeiten und Hacker machen.
Jetpack zählt laut WordPress.org aktuell über fünf Millionen aktive Nutzer.

 

 

 

Bekannt geworden am 19.11.2019:

Sicherheitslücke im Shortcode Embed Code

Seit 2017 bzw. Jetpack 5.1 bestand diese Lücke unbemerkt. Nun da sie veröffentlicht und behoben wurde, gilt es aber schleunigst zu updaten! Bei derart verbreiteten Plugins besteht schlicht ein sehr hohes Risiko. Weitere Details stehen uns aktuell nicht zur Verfügung.
Die Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (7.9.1) aktualisiert wird.
Quelle: https://wpvulndb.com/vulnerabilities/9955

 

 

———

 

Bekannt geworden am 12.12.2018:

Sicherheitslücke: Authenticated Cross-Site Scripting (XSS)

Es wurde eine Sicherheitslücke gefunden, die sich auf ein Modul auswirkt, das für Premium- und professionelle Benutzer von Jetpack verfügbar ist. Angreifer, die die Kontrolle über ein Konto auf der Zielseite mit mindestens den Contributor-Privilegien erlangt haben, können beliebigen JavaScript-Code in das HTML Markup eines Blog-Posts einfügen. Sobald der Administrator der Zielseite den bösartigen Blog-Post sieht, wird böser Java Script-Code ausgeführt, der den Zielserver gefährdet. Die Sicherheitslücke betrifft die Versionen 6.4.2 und älter. Aktualisiere das Plugin auf die neueste Version, um die Sicherheitslücke zu schließen.
Quelle: https://wpvulndb.com/vulnerabilities/9168

 

Falls du über den HostPress SecurePlan verfügst, erhältst du Sicherheitsupdates dieser Art unmittelbar nach Bekanntgabe der Sicherheitslücke.