In dem Standard-Theme „Twenty Fifteen“ von WordPress gibt es eine kritische Sicherheitslücke welche es Angreifern erlaubt den Account eines Administrators zu übernehmen.
Bei der Lücke handelt es sich um eine Cross-Site Scripting (XSS)-Anfälligkeit in einer Beispieldatei des WordPress Themes, diese Beispieldatei wird übrigens auch in dem beliebten Plug-in Jetpack verwendet, welches auch von der Lücke betroffen ist.
WordPress hat bereits ein Sicherheitsupdate (4.2.2) veröffentlicht, welches diese Lücke schließen soll. Und auch für das Jetpack Plugin gibt es bereits ein Update.
Da die Lücke bereits aktiv ausgenutzt wird, raten wir allen Betreibern einer auf WordPress basierenden Webseite dazu Ihre WordPress Installation und, falls im Einsatz, das Jetpack Plugin umgehend zu Aktuallisieren.
Weitere Informationen hierzu finden Sie bei heise security.