Sicherheitslücke in Fancybox (WordPress Plugin)

Ein Sicherheitsunternehmen warnt vor einer Zero-Day-Lücke im WordPress Plugin Fancybox.
Die Fancybox generiert eine Lightbox für WordPress. Offensichtlich ist Fancybox angreifbar. Infizierte Installationen kennzeichnen sich dadurch, dass ein iFrame namens „203koko“ geöffnet wird. Es kann Malware eingeschleust werden. Wie das genau funktioniert, wird nicht mitgeteilt.
Es gibt noch keinen Patch. Daher wird empfohlen, Fancybox ersteinmal zu deaktivieren.
Fancybox ist recht weit verbreitet und verzeichnet als Alternative zu einer jQuery Lightbox über eine halbe Million Downloads weltweit.