Mehrere Anbieter von WordPress-Plugins haben jetzt mit Updates auf eine Sicherheitslücke reagiert, die erst nur im SEO-Plugin von Yoast erkannt wurde.

Es stellte sich aber heraus, dass noch weitere Plugins des besonders bei Bloggern beliebten Content Management Systems betroffen sind.

Die Cross-Site-Scripting (XSS)-Sicherheitslücke öffnet sich durch falschen Einsatz der Funktionen add_query_arg() and remove_query_arg().

Die missverständliche Beschreibung in der offiziellen WordPress-Dokumentation trug dazu bei, die Entwickler zu einer unkorrekten Annahme verleitete.

Anfällig für CSS über die Lücke  erwiesen sich unter anderem die Plug-ins Jetpack, All in One SEO, WP-Ecommerce, WP Touch und Gravity Forms.

Die unterschiedliche Nutzung der gefährlichen Funktionen lässt auch die potenzielle Gefährdung durch die Plug-ins verschieden hoch ausfallen -das muss nicht immer sehr hoch sein.

Zuerst wurde die Anfälligkeit in der letzten Woche bei Yoasts SEO-Plugin entdeckt. Yoast musste schon im März auf eine Cross-Site-Request-Forgery-Lücke (CSRF) in seinem Plugin reagieren, die SQL-Angriffe erlaubte.