Hacker können sich bei der beliebten Blogsoftware WordPress aufgrund einer Sicherheitslücke zum Administrator machen. Der aus Finnland stammende IT-Experte Jouko Pynnönen hat die Hintergründe der Cross-Site-Scripting-Lücke in einer Mailingliste publik gemacht. Demnach reicht ein einfacher Kommentar, um per Javascript Admin-Rechte zu erlangen.
Möglich wird dies durch eine Überschreitung der für Kommentare geltenden Größenbeschränkung von 64 Kilobyte. Fällt eine Nutzermeinung größer aus, wird sie von WordPress abgeschnitten – der Javascript-Code landet also dennoch in der Datenbank. Dies gilt zumindest, wenn die Kommentare nicht erst nach einer Moderation freigeschaltet werden.
Die Schwachstelle finde sich auch in älteren Versionen von WordPress . Der Hersteller reagierte verspätet mit einem offiziellen Update auf Version 4.2.1, welches die Schwachstelle ausmerzen soll. Anwender, die die automatische Update-Funktion nutzen, sollten die neue Version ohne Zutun erhalten.