12 популярных плагинов содержали XSS-уязвимость

Проблема заключалась в неправильном использовании функций add_query_arg() и remove_query_arg().

Эти функции используются многими разработчиками WordPress для добавления и изменения параметров URL. Программисты полагались на неполную документацию к этим функциям, рассчитывая, что используемые функции экранируют значения передаваемые в адресной строке, но это оказалось не так.

На сегодняшнее утро для каждого из них было подготовлено обновление, поэтому настоятельно рекомендую обновиться всем прямо сейчас, либо активировать автоматическое обновление вашего WordPress. Меньше ручной работы — спокойнее живётся! ;-)

Список плагинов подверженных уязвимости (до 20 апреля 2015):

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In One SEO Pack
  • Gravity Forms
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • P3 Profiler
  • Broken Link Checker
  • Ninja Forms

У меня из этого списка было 2 плагина. :-)
17 популярных плагинов содержали XSS-уязвимость

Кому интересно, предлагаю ознакомиться с подробностями в блоге Sucuri (на английском): https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: