Eine weitere Sicherheitslücke, diesmal in WordPress selber, hat zu einer Cross-Site-Scripting-Lücke (XSS) in zahlreichen WordPress-Plug-ins geführt. Sie wurde von der Sicherheitsfirma Sucuri entdeckt; diese hat auch eine Liste der betroffenen Plug-ins veröffentlicht.
Ursache für die Lücke war eine unklare Beschreibung der zwei WordPress-Funktionen add_query_arg() und remove_query_arg() in der offiziellen Dokumentation; näheres dazu steht in diesem Artikel auf heise Security.
Neben den im Sucuri-Blog veröffentlichten Plug-ins könnten weitere betroffen sein. WordPress-Admins wird empfohlen, in nächster Zeit wachsam zu bleiben und alle Aktualisierungen so bald wie möglich einzuspielen.