Es tut sich eine neue Lücke auf – dieses mal sind das TwentyFifteen Theme, standardmäßig in WordPress Installationen enthalten, sowie das Jetpack Plugin betroffen.
Genauer gesagt geht es um das hier enthaltene genericons Paket, welches laut Sucuri anfällig für einen DOM-basierten XSS Angriff ist. Schuld hieran ist die Datei example.html, welche hier enthalten ist.
Das Problem bei DOM-basierten Angriffen ist, dass es sich um einen lokal am Client ausgeführten Angriff handelt. Dieser lässt sich daher auch nicht Server seitig blockieren oder verhindern, etwa durch Webseiten Firewalls.
Allerdings muss die kompromitierte URL gezielt aufgerufen werden, was aber unbedarften Anwendern vermutlich nicht auffällt.
Das Problem lässt sich leicht lösen, indem man die example.html Datei aus dem genericons Verzeichnis löscht.
Soeben sind auch Updates für Jetpack sowie TwentyFifteen erschienen.
Da das genericons Paket allerdings auch in anderen Themes verwendet wurde – solltet ihr eure Installation auf das Vorhandensein dieser Datei überprüfen.
Wie immer kann ich nur raten regelmäßig seine Installation auf vorhandene Updates zu überprüfen und diese dann auch ein zu spielen.
Bitte beachtet, dass die Lücke auch dann besteht, wenn das Theme gar nicht aktiviert ist – es reicht, dass die Dateien in eurer Installation vorhanden sind!
Update:
Es stehen Updates bereit, siehe auch WordPress 4.1.5 und 4.2.2 sind erschienen