Jetpack Abonnement Sicherheitslücke

Hallo liebe Wordpress Gemeinde,

ich bin einer von mehreren Admins auf einer wunderschönen Wordpress Seite. Unter anderem haben wir JetPack 3.4.1 und den User Role Editor laufen. Mehr oder weniger, durch Zufall ist uns heute eine eklatante Sicherheitslücke über das JetPack Abonnement Widget aufgefallen.

Wir denken ihr solltet das wissen: Wir haben die Abonnements in den JetPack Einstellungen aktiviert und das entsprechende Widget ganz normal in eine rechte Seitenleiste eingebaut. Da wir auch einen INTERN (geheimen) Bereich mit Kategorien und Beiträgen haben, haben wir über den User Access Manager und dem User Role Editor entsprechende Gruppen und Rollen angelegt.

Der Hammer ist nun dass JEDER Abonnent der neue Beiträge über das JetPack Widget abonniert hat JEDEN, aber auch wirklich JEDEN Beitrag unabhängig von seinen Rechten zugesandt bekommt.

Wir sind fast aus den Latschen gekippt, als wir dies feststellen mussten. Das hat einiges angerichtet. Wir haben nun das Widget entfernt und die Abonnements im JetPack deaktiviert. Jetzt ist alles wieder in Ordnung.

Tatsache ist: Gruppenrechte und Rollen werden mit dem JetPack Abonnement übergangen.

Schönen Abend und vielen Dank fürs lesen.
Bitte gebt diese Info weiter und testet ggfs. eure eigenen Seiten etc. (O: :O)