Erst vor wenigen Tagen wurde die neue Version 4.2 von WordPress veröffentlicht, da wurde gestern die nächste große Sicherheitslücke bekannt: Eine schon länger bekannte Stored Cross-Site Scripting-Lücke ermöglicht es einem Angreifer unter Umständen, mittels JavaScript in einem Nutzer-Kommentar den Admin-Account und damit die ganze Webseite zu kapern.
Der finnische IT-Experte Jouko Pynnonen hat die Sicherheitslücke gestern, am 26. April, auf der Full Disclosure-Mailingliste und auf seinem Blog veröffentlicht. Auf Twitter schreibt er, er habe sich deswegen bereits im November des vergangenen Jahres an die WordPress-Entwickler gewandt, man habe ihm jedoch trotz zahlreicher weiterer Versuche bis heute nicht geantwortet.
Wer nicht warten will, bis ein offizieller Fix von WordPress bereitgestellt wird, kann auf einen kleinen, von Golem.de bereitgestellten Patch zurückgreifen.
Update am 28.04.2015
Noch am gestrigen Montag hat WordPress ein Security Release (Version 4.2.1) veröffentlicht.