Das seitenübergreifende Kommentarsystem für Webseiten Disqus und das dazu passende Plugin gehören zu den am meisten heruntergeladenen Erweiterungen für das meist von Bloggern verwendete CMS WordPress.

Nach einem Bericht von Heise hat Sicherheitsforscher Nik Cubrilovic jetzt Details zu mehreren Sicherheitslücken veröffentlicht, die er im Disqus-Plugin für WordPress entdeckt und schon im Juni an Disqus gemeldet hat. Die Entwickler haben daraufhin das Plugin Ende Juni aktualisiert.

Alle Versionen des Disqus-Plugins bis zur Version 2.75 sind angreifbar. Die aktuelle Version des WordPress-Plugins trägt die Nummer 2.77 und kann über das WordPress Plugin Directory heruntergeladen werden.

Bei Installationen, in denen eine der verwundbaren Versionen von Disqus läuft, kann ein Angreifer dem Administrator seine WordPress-Session über eine Cross-Site Request Forgery (CSRF) stehlen oder auch die Einstellungen des Plugins ändern oder löschen.

Dazu muss das Opfer nur eine vom Angreifer wie bei dem im Headerbild gezeigten Exploit präparierte Internetsseite in seinem Browser aufrufen.