Ein beliebtes Plugin für das CMS WordPress ist Jetpack, durch das viele Anwender die Geschwindigkeit von Abrufen ihrer WordPress-Seiten optimieren.

Eine gerade entdeckte Lücke erlaubt es Angreifern aber, schädlichen JavaScript-Code durch Nutzung der Kommentar-Funktion des Blogs einzuschleusen, der letztlich die Rechner von Besuchern angreifen kann. So ein Konstrukt nennt man einen Stored-XSS-Angriff.

Um diesen Cross Site Scripting-Angriff durchführen zu können, muss die WordPress-Seite Jetpack installiert haben und die Einbettung von Shortcodes aktiviert haben.

Die Entwickler des Plugins haben die Sicherheitslücke mit der verfügbaren Version 4.0.3 geschlossen. Nähere Details zu der Sicherheitslücke finden Sie bei der Sicherheitsfirma Sucuri, die den Bug auch entdeckte. Er wurde mit der Version 2.0 eingebaut und steckt also schon seit November 2012 in dem Plugin.