Es stellte sich aber heraus, dass noch weitere Plugins des besonders bei Bloggern beliebten Content Management Systems betroffen sind.
Die Cross-Site-Scripting (XSS)-Sicherheitslücke öffnet sich durch falschen Einsatz der Funktionen add_query_arg() and remove_query_arg().
Die missverständliche Beschreibung in der offiziellen WordPress-Dokumentation trug dazu bei, die Entwickler zu einer unkorrekten Annahme verleitete.
Anfällig für CSS über die Lücke erwiesen sich unter anderem die Plug-ins Jetpack, All in One SEO, WP-Ecommerce, WP Touch und Gravity Forms.
Die unterschiedliche Nutzung der gefährlichen Funktionen lässt auch die potenzielle Gefährdung durch die Plug-ins verschieden hoch ausfallen -das muss nicht immer sehr hoch sein.
Zuerst wurde die Anfälligkeit in der letzten Woche bei Yoasts SEO-Plugin entdeckt. Yoast musste schon im März auf eine Cross-Site-Request-Forgery-Lücke (CSRF) in seinem Plugin reagieren, die SQL-Angriffe erlaubte.