Jetpack: XSS fout gevonden

Een Cross site scripting fout is vandaag verholpen in Jetpack versie 4.03 van Jetpack. Als je nog niet geupdated bent naar deze laatste versie raden we je zeker aan dit te doen. De impact van dit beveiligings risico is 6.1 (Medium) dit is de zogeheten CVSS score.

De XSS die in jetpack voorkwam in alle oudere versies dan 4.0.3 bestaat er uit dat er geen controle is op schadelijke html tags bij het embedden van Vimeo links. Het laat een hacker toe om kwaadwillende links in comments te gebruiken.

Het jetpack heeft de filtering aangepast bij het plaatsen van comments. Ook het Akismet team heeft een methode toegepast om een schadelijke link tegen te houden bij het controleren van spam berichten.

Alle versies van Jetpack bevatten deze fout. Gebruikers van de Wordfence Firewall zijn beschermt tegen aanvallen met deze soort XSS. Maar moeten natuurlijk ook updaten naar de laatste versie van de Jetpack plugin.

Comments

Add a comment

mood_bad
  • No comments yet.
  • chat
    Add a comment
    keyboard_arrow_up