Более 17 популярных плагинов WordPress уязвимы к XSS-атакам

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

23 апреля 2015

Wordpress

Брешь позволяет внедрение вредоносного кода в браузеры посетителей web-сайтов.

По данным ИБ-компании Sucuri, по крайней мере 17 (возможно больше) популярных плагинов WordPress содержат XSS-уязвимость. Брешь позволяет внедрение вредоносного кода в браузеры посетителей web-сайтов. Уязвимость была обнаружена и проанализирована исследователем безопасности компании Scrutinizer CI Йоханнесом Шмиттом (Johannes Schmitt). Специалисты Sucuri совместно с экспертом из Yoast Джоостом де Валком (Joost de Valk) в частном порядке сообщили о проблеме разработчикам уязвимых плагинов, в числе которых Jetpack, WordPress SEO, WPTouch, My Calendar и другие.

Брешь возникла в результате некорректного использования функций add_query_arg() и remove_query_arg(), часто применяемых создателями программ для модифицирования и добавления строк запроса URL внутри WordPress.

По словам основателя и технического директора Sucuri Дэниела Сида (Daniel Cid), в связи с нечетким изложением этих функций в официальной документации WordPress (Codex) многие разработчики плагинов использовали их некорректно, что привело к появлению уязвимости.

Исследователи Sucuri проанализировали порядка 300-400 популярных WP-плагинов и обнаружили, что 17 из них содержат брешь XSS. Специалисты отмечают, что список не является полным, поэтому прежде чем начать работу с плагином, разработчикам рекомендуется проверить код на наличие ловушек.

 

Источники[править]


 

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.