Für die Open-Source-Blogsoftware WordPress ist ein wichtiges Update auf die Version 4.2.2. veröffentlicht worden, da erneut eine XSS Cross-Site-Scripting-Sicherheitslücke gefunden wurde. Das Sicherheitsunternehmen Sucuri hatte die DOM-basierte Softwarelücke entdeckt und vor den Folgen eines Angriffs gewarnt. Mit dieser Schwachstelle ist es Angreifern möglich das Document Object Model (DOM) im Browser des Opfers durch das Original-Script zu modifizieren und bösartige JavaScript-Schadcodes auszuführen. Sollte der Nutzer dabei als WordPress-Administrator eingeloggt sein, könnte der Angreifer sogar die komplette Website übernehmen.
Verursacher dieser Sicherheitslücke ist die Beispieldatei des Genericons-Icon-Sets, die sowohl im Default-Theme Twenty Fifteen vorkommt sowie über das Plugin Jetpack integriert wird. Makaber dabei ist, dass diese Beispielsatei vollkommen unnötig ist und lediglich für Tests der Entwickler benötigt wird.
Mit dem WordPress 4.2.2 Sicherheitsupdate wird die Beispieldatei automatisch entfernt und WordPress versucht weiterhin zu erkennen, ob andere installierte Themes oder Plugins diese verwundbare Datei mitliefern. Wer die automatische Update-Funktion in seinen WordPress-Einstellungen aktiviert hat, dürfte das Sicherheitsupdate bereits eingespielt haben. Allen anderen wird eine manuelle schnellstmöglich Installation empfohlen!