Über eine Cross-Site-Scripting-Schwachstelle können Angreifer WordPress-Installationen kompromittieren. Betroffen sind alle Versionen bis einschließlich WordPress 4.4.
Mit einem Wartungs-Update beheben die Entwickler des Content-Management-Systems WordPress insgesamt 52 Bugs, die seit erscheinen Version 4.4 gefunden wurden. Admins, die Auto-Updates deaktiviert haben, sollten WordPress 4.4.1 schnellstmöglich manuell installieren, da das Update auch eine Cross-Site-Scripting-Lücke (XSS) behebt, über die Angreifer das CMS kompromittieren können.
Die XSS-Lücke betrifft alle WordPress-Ausgaben bis einschließlich Version 4.4 und wurde von einem unabhängigen Sicherheitsforscher über die Bug-Bounty-Plattform Hacker One gemeldet. Admins, die ältere noch unterstütze Entwicklungszweige von WordPress einsetzen, sollten sicherstellen, dass sie das entsprechende Updates vom 6. Januar 2016 installiert haben – beziehungsweise die Versionen 4.3.2, 4.2.6, 4.1.9, 4.0.9, 3.9.10, 3.8.12 oder 3.7.12.