WordPress pluginy ohrozuje XSS zraniteľnosť
Blog Sucuri upozornil na Cross-site scripting (XSS) zraniteľnosť, túto obsahuje veľké množstvo pluginov pre WordPress. Jedná sa o funkciu add_query_arg() a remove_query_arg(), ktorú tieto pluginy používajú. Oficiálna WordPress dokumentácia (Codex) neuvádzala, že je potrebné tieto funkcie escapovať a veľa autorov sa omylom spoliehalo, že escapovanie zabezpečí samotná funkcia. Preto ani oni nepoužili vo svojich pluginoch toto zabezpečenie.
Zoznam pluginov, ktorých sa zraniteľnosť týka:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Multiple iThemes products including Builder and Exchange
- Broken-Link-Checker
- Ninja Forms
Je možné, že tieto funkcie používa veľa dalších pluginov.
WordPress SEO by Yoast bol prvý plugin u ktorého sa tento problém zistil, v tejto chvíli už existuje verzia s opravenou zraniteľnosťou. Takisto sú už opravené aj dalšie pluginy. Teraz je už len na Vás, čo najskôr aktualizovať pluginy na svojich WP stránkach.
