В популярных плагинах WordPress обнаружена критическая XSS уязвимость
Уязвимость присутствует и во всех версиях WordPress. Использование данной уязвимости позволит злоумышленикам скомпометировать сайт.
В общей сложности 17 различных плагинов подвержены данной уязвимости. В отчете, опубликованном специалистами компаниии Sucuri, указано, что данной XSS уязвимости были подвержены следующие плагины WordPress:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Multiple iThemes products including Builder and Exchange
- Broken-Link-Checker
- Ninja Forms
Уязвимости появились в результате непривильного использования со стороны разработчиков функций add_query_arg() и remove_query_arg().
Разработчики незамедлительно выпустили апдейт, который направлен на устранение обнаруженных уязвимостей.
Выпущенный разработчиками апдет устраняет не только эту XSS уязвимость, вместе с ней было устранено еще несколько важных ошибкок.
В версии 4.1 и выше файлы с небезопасным или неправильным именем могли быть загружены на сервер, а в версии WordPress 3.9 была устранена очень ограниченная XSS уязвимость, которая могла быть реализована как часть атаки с применением СИ. Третья ошибка, которая была устранена, относится к SQLi уязвимости в некоторых плагинах.
Кроме обновлений безопасности, разработчики также добавили улучшение защиты для файлов, наиболее подверженных риску.
Ссылки:
_http://news.softpedia.com/news/WordPress-4-1-2-Fixes-Critical-XSS-Flaw-479043.shtml
_http://arstechnica.com/security/2015/04/swarm-of-wordpress-plugins-susceptible-to-potentially-dangerous-exploits/
Уязвимость присутствует и во всех версиях WordPress. Использование данной уязвимости позволит злоумышленикам скомпометировать сайт.
В общей сложности 17 различных плагинов подвержены данной уязвимости. В отчете, опубликованном специалистами компаниии Sucuri, указано, что данной XSS уязвимости были подвержены следующие плагины WordPress:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Multiple iThemes products including Builder and Exchange
- Broken-Link-Checker
- Ninja Forms
Уязвимости появились в результате непривильного использования со стороны разработчиков функций add_query_arg() и remove_query_arg().
Разработчики незамедлительно выпустили апдейт, который направлен на устранение обнаруженных уязвимостей.
Выпущенный разработчиками апдет устраняет не только эту XSS уязвимость, вместе с ней было устранено еще несколько важных ошибкок.
В версии 4.1 и выше файлы с небезопасным или неправильным именем могли быть загружены на сервер, а в версии WordPress 3.9 была устранена очень ограниченная XSS уязвимость, которая могла быть реализована как часть атаки с применением СИ. Третья ошибка, которая была устранена, относится к SQLi уязвимости в некоторых плагинах.
Кроме обновлений безопасности, разработчики также добавили улучшение защиты для файлов, наиболее подверженных риску.
Ссылки:
_http://news.softpedia.com/news/WordPress-4-1-2-Fixes-Critical-XSS-Flaw-479043.shtml
_http://arstechnica.com/security/2015/04/swarm-of-wordpress-plugins-susceptible-to-potentially-dangerous-exploits/