In Wordpress is een lek geconstateerd dat websites kwetsbaar maakt voor cross-site scripting. Daardoor kan een website makkelijk in handen vallen van een hacker. 86 procent van de WordPress-sites is kwetsbaar.

Het probleem schuilt in de commentaarvelden. Een hacker kan in een commentaar JavaScript verbergen die door de meeste browsers uitgevoerd zal worden. De aanvaller hoeft daar bij de meeste sites niet voor in te loggen, wat de aanval erg eenvoudig maakt. 

Deze kwetsbaarheid schuilt alleen in de WordPress-versies 3.9.2 en ouder. Van WordPress 4 is echter ook een update uitgebracht, in verband met drie andere cross-site scripting (XSS) problemen die ook in de oudere versies schuilen. Los daarvan hebben de ontwikkelaars van WP-Statistics, een WordPress-plug-in waarmee het bezoekersgedrag geanalyseerd kan worden, ook een update uitgebracht. Ook in dit geval gaat het om een kwetsbaarheid via cross-site scripting.

De updates zijn te vinden op de website WordPress.org. De geüpdate versie 8.3.1 van WP-Statistics is te vinden in de Plugin Directory van de WordPress-site. Meer informatie is te vinden op de website van Klikki Oy

Alles bij de bron; AutomGids