Плагины для WordPress уязвимы к XSS-атакам


Исследователи компании Sucuri проанализировали около 400 популярных плагинов для WordPress и установили, что 17 из них содержат XSS-уязвимость. Обнаруженная брешь позволяет внедрение вредоносного кода в браузеры посетителей web-сайтов.

В числе уязвимых плагинов оказались и такие популярные, как

  • Jetpack;
  • WordPress SEO;
  • WPTouch;
  • My Calendar и другие.


Возникновение бреши возникло в результате некорректного использования функций add_query_arg() и remove_query_arg(). Напомним, данные функции часто применяются создателями программ для модифицирования и добавления строк запроса URL внутри WordPress.

Как утверждают в Sucuri, к появлению данной уязвимости привело некорректное использование этих функций. В свою очередь это произошло по причине нечеткого изложения этих функций в официальной документации WordPress (Codex).


Обновлено (23.04.2015 17:49)