Специалистами по защите информации из компании Sucuri была обнаружена XSS уязвимость во многих плагинах WordPress, возникшая в результате неправильного использования функций add_query_arg () и remove_query_arg (), которые применяются разработчиками для того, чтобы изменить и добавить строки запросов в URL в системе WordPress.
Согласно экспертам, такая ситуация произошла из-за того, что официальная документация WordPress была нечетко изложена, а это, в свою очередь, привело к тому, что многие разработчики неверно использовали вышеуказанные функции.
На данный момент в список уязвимых плагинов входит:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Плагины от Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Множество продуктов iThemes, включая Builder и Exchange
- Broken-Link-Checker
- Ninja Forms
Но, по мнению специалистов, это может быть не полный список уязвимых плагинов, остальные просто еще не успели обнаружить. Поэтому рекомендуется незамедлительно обновить все плагины WordPress и следить за последующими обновлениями.
