Внимание! XSS уязвимость в WordPress и множестве плагинов.

Четверг, 23 апреля 2015 10:54

20 апреля 2015 года была обнародована критическая уязвимость, позволяющая произвести XSS атаку на сайт, которой подвержено огромное количество плагинов для Wordpress. 

Уязвимость связана с неправильным использованием разработчиками плагинов функций add_query_arg и remove_query_arg, которые были плохо задокументированы в документации Wordpress, что ввело разработчиков плагинов в заблуждение и в результате привело к возможности осуществления атаки.

Специалистами компании Sucuri были протестированы около 300 самых популярных плагинов Wordpress, во многих из них наличие уязвимости было подтверждено. Список мы опубликуем ниже. Разработчики данных плагинов уже выпустили обновления, закрывающие уязвимость. Однако хотим обратить внимание, что этот список не полон, очевидно, что уязвимых плагинов намного больше, просто их пока возможно никто не тестировал.

Список плагинов в которых уязвимость была подтверждена и разработчиками выпущены обновления:

  • - Jetpack
  • - WordPress SEO
  • - Google Analytics by Yoast
  • - All In one SEO
  • - Gravity Forms
  • - Multiple Plugins from Easy Digital Downloads
  • - UpdraftPlus
  • - WP-E-Commerce
  • - WPTouch
  • - Download Monitor
  • - Related Posts for WordPress
  • - My Calendar
  • - P3 Profiler
  • - Give
  • - Multiple iThemes products including Builder and Exchange
  • - Broken-Link-Checker
  • - Ninja Forms

Также было выпущено обновление и самого Wordpress.

Хотим обратить внимание, что вероятнее всего, в ближайшее время появятся эксплойты, предназначенные для взлома сайтов, используя данную уязвимость, и непосредственно начнутся массовые взломы.

Мы настоятельно рекомендуем обновить ваши сайты на Wordpress, а также все плагины (не только те, которые есть в данном списке) до последних версий, а также проверить, используются ли в плагинах, для которых вы не найдёте обновления, функции add_query_arg и remove_query_arg. Если они присутствуют, велика вероятность, что эти плагины также уязвимы.

Если вам необходима помощь - вы можете обращаться в нашу службу поддержки.

Добавлено 27 апреля 2015 года: Сегодня была закрыта ещё одна критическая уязвимость в версиях Wordpress 4.2, 4.1.2, 4.1.1, 3.9.3. Обновления уже вышли. Посмотреть как работает уязвимость можно здесь


Спасибо! Конечно хоть и не самый удобный способ обновлять все плагины, так как после обновления некоторых, возможны "баги" в верстке или в стабильной работе. Но Вам ребята спасибо, что предупредили! Как говорится: Предупрежден - значит вооружен :)

Владимир Владимир | Четверг, 23 апреля 2015 14:11


Владимир, чтобы не было "багов" при обновлении, необходимо изначально правильно разрабатывать сайт. Нельзя править ядро и плагины. То, что необходимо изменить, практически всегда можно переназначить в теме.
И тогда всё будет обновляться без проблем :)

WebPatron WebPatron | Суббота, 25 апреля 2015 13:06


Оставить комментарий

  • Способы
    Оплаты:
  • visa
  • mastercard
  • qiwi
  • webmoney
  • yandex money
  • sberbank
  • mts bank
  • zpayment
  • liqpay
  • alfabank white
  • paxum e1411320249623
Copyright © 2012 - 2018 WebPatron Ltd. All rights reserved.