XSS Sicherheitslücke betrifft viele WordPress Plugins

Viele WordPress Plugins sind mit Cross Site Scripting (XSS) angreifbar weil im Code add_query_arg() und remove_query_arg() Funktionen falsch verwendet wurden. Diese Funktionen sind in WordPress Erweiterungen oft von Entwicklern verwendet worden um Query Strings zu bearbeiten und hinzuzufügen.

Da die offizielle WordPress Dokumentation (Codex) diese Funktionen nicht ausreichend klar dokumentiert hat wurden sie von Entwicklern oft in einer unseren Weise implementiert. Die Entwickler sind davon ausgegangen dass die Benutzereingabe normalisiert wird, was aber nicht der Fall ist – dies führte dann zu der Angreifbarkeit für XSS.

Eine (unvollständige) Liste von betroffenen Plugins:

Wie immer sollten die entsprechenden Plugins so bald wie möglich aktualisiert werden.

Wenn Sie sicher sein wollen dass Ihre WordPress Installation immer aktuell ist und Sicherheitslücken so bald wie möglich geschlossen werden sollten Sie ein WordPress Service Abonnement in Betracht ziehen.

Bei Fragen können Sie uns gerne kontaktieren.