Es ist das zweite Mal in dieser Woche, dass WordPress die Veröffentlichung eines Sicherheitsupdates beschleunigen musste, nachdem in dieser Blogging-Software eine Sicherheitsanfälligkeit bezüglich Cross-Site-Scripting festgestellt wurde.

 

Ein finnischer Sicherheitsforscher hat in WordPress 4.2 und einigen älteren Versionen von dieser Sicherheitsanfälligkeit erfahren. Es ist ein Fehler, der es Angreifern ermöglicht, ihren eigenen Code in einem Kommentar zu hinterlassen, der dann bei jedem Besuch dieser Seite geladen wird. Cookies können dann Besuchern gestohlen oder das Passwort von Administratoren geändert werden. Die WordPress-Installation kann dann beispielsweise übernommen werden.

Laut dem Sicherheitsforscher, der das Leck entdeckt und den Proof of Concept veröffentlicht hat, wurde dieser Fehler bereits ausgenutzt. Aus diesem Grund hat WordPress bereits am Montag, den 27. April, ein Sicherheitsupdate veröffentlicht. Eine Woche zuvor musste WordPress auch ein Update veröffentlichen, um einen weiteren Fehler in WordPress 4.2 zu beheben.