WP XSS sebezhetőség – népszerű pluginek is érintettek

wordpress_vulnA legnépszerűbb WordPress pluginek közül többet is érint az a Cross-site Scripting (XSS) sebezhetőség,  ąmely néhány napja lett nyilvános. A wordpress.com hivatalos plugin csomagja, a Jetpack mellett olyan rendkívül elterjed és sokak által napi rendszerességgel használt bővítmények miatt kerülhet veszélybe az oldalunk, mint a WordPress SEO, All in one SEO, Ninja Forms, Google Analytics by Yoast – csak hogy néhány ismertebbet említsünk.

A lista koránt sem teljes, szinte minden nap újabb és újabb plugin kerül fel a listára. A sebezhetőséget két függvény, az add_query_arg() és a remove_query_arg() (rosszul történt) használata okozza. A problémát a fejlesztők szerint az okozta, hogy a WP hivatalos dokumentációja nem fogalmazott egyértelműen ezeknek a függvényeknek a használatában – ezért sokan nem biztonságos módon implementálták a kódjukban. A legismertebb, érintett plugin-eket a cikkünk végén felsoroljuk.

A plugineket – ahol csak ez elérhető – ajánlott azonnal frissíteni. Ha az oldal olyan plugint használ, ami maga is érintett, de nincs frissítés, akkor pedig ajánlott a frissítés megérkeztéig kikapcsolni, talán törölni, esetleg másik, hasonló célt szolgáló plugin után nézni.

Ismertebb, az XSS sebezhetőség által érintett pluginek:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

(kép forrása: thehackernews.com)

Share

Szóljon hozzá!

*

Content Protected Using Blog Protector By: PcDrome.