Bug in WordPress plug-in Jetpack vereist onmiddellijke actie

Maak jij voor jouw WordPress CMS gebruik van de Jetpack plug-in? Dan moet je die zo snel mogelijk updaten. Een ernstige cross-site scripting (XSS) bug maakt immers het injecteren van schadelijke code via commentaren mogelijk. Meteen aan de slag!

Wat is het?

WordPress plug-in JetpackDe Jetpack plug-in is erg populair. Hij breidt je normale WordPress-dashboard uit met bezoekersstatistieken, maakt het inladen van afbeeldingen sneller, helpt je om meer bezoekers te krijgen, en meer. Momenteel is de Jetpack plug-in op meer dan een miljoen WordPress sites geïnstalleerd.

Onderzoekers bij het beveiligingsbedrijf Securi hebben nu echter een bug in Jetpack ontdekt die het mogelijk maakt om schadelijke JavaScript code via de commentaarfunctie van blogs door te geven. Deze code zal de bezoekers van het blog besmetten, iets wat in vaktermen een Stored-XSS bug genoemd word.

Is jouw WordPress site vatbaar voor de bug?

De bug zit in de  Shortcode Embeds module van Jetpack. Shortcodes zijn een systeem waarbij je, door gewone platte tekst in te voeren, ook bestanden kan inbedden of objecten kan creëren. Bijvoorbeeld [dailymotion] zou een DailyMotion video inbedden, [instagram] een afbeelding inbedden die zich op Instagram bevindt, en meer.

Je moet dus niet alleen de Jetpack plug-in geïnstalleerd hebben, maar ook de shortcode Embeds module geactiveerd hebben.

Wat kunnen de gevolgen zijn?

De JavaScript code is persistent, wat wil zeggen dat hij telkens opnieuw uitgevoerd wordt in de browser van de gebruiker, wanneer hij de site met het besmette commentaar bezoekt. Een aanvaller zou via deze bug de admin account kunnen wegkapen, SEO spam in de besmette pagina kunnen injecteren, bezoekers naar besmette websites kunnen doorverwijzen.

Wat moet je doen?

De ontwikkelaars van de Jetpack plug-in hebben samen met het security team van WordPress getracht zoveel mogelijk updates uit te sturen via het auto-update systeem. Maar voor alle zekerheid installeer je best meteen versie 4.0.3 van Jetpack, waarin de bug weggewerkt werd.

Meer lees je bij Network World, Heise.de, Securi.net