Обнаружена уязвимость в плагинах WordPress

Специалистами по защите информации из компании Sucuri была обнаружена XSS уязвимость во многих плагинах WordPress, возникшая в результате неправильного использования функций add_query_arg () и remove_query_arg (), которые применяются разработчиками для того, чтобы изменить и добавить строки запросов в URL в системе WordPress.

Согласно экспертам, такая ситуация произошла из-за того, что официальная документация WordPress была нечетко изложена, а это, в свою очередь, привело к тому, что многие разработчики неверно использовали вышеуказанные функции.

На данный момент в список уязвимых плагинов входит:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Плагины от Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Множество продуктов iThemes, включая Builder и Exchange
  • Broken-Link-Checker
  • Ninja Forms

Но, по мнению специалистов, это может быть не полный список уязвимых плагинов, остальные просто еще не успели обнаружить. Поэтому рекомендуется незамедлительно обновить все плагины WordPress и следить за последующими обновлениями.