Jetpack til WordPress lukker alvorligt hul

Artiklen blev oprindeligt publiceret den 8/10/2015

Udviklerne af plug-innen Jetpack til WordPress har lukket et alvorligt sikkerhedshul af typen cross-site scripting.

Sårbarheden ligger i plug-innens kontaktformular. Den gør det muligt at lagre scriptkode i databasen. Når indhold fra databasen vises hos brugeren, afvikles koden i brugerens browser.

Angribere kan udnytte sårbarheden ved at indtaste scriptkode i e-mail-feltet på formularen.

Fejlen er rettet i Jetpack 3.7.1.

Hvis man har installeret Jetpack, men har slået kontaktformularen fra, kan angribere ikke udnytte sårbarheden.

Anbefaling
Opdater til den nyeste version af Jetpack.

Links

• Critical XSS Flaw Patched in Jetpack WordPress Plugin, artikel fra SecurityWeek
• Security advisory: Stored XSS in Jetpack, Sucuri
• WordPress Jetpack Plugin Patched Against Stored XSS Vulnerability, blogindlæg fra Kaspersky Threatpost