На одну из самых популярных CMS-систем в мире обрушилась очередная вирусная угроза. Серьезная уязвимость заставила вебмастеров в спешном порядке обновлять почти два десятка плагинов на WordPress сайтах.

Эксплойт обнаружили специалисты по IT-безопасности из компании Sucuri Security. Касается он межсайтового скриптинга (XSS). Использование этой атаки злоумышленникам упрощает некорректное применение разработчиками плагинов для WordPress популярных функций add_query_arg () и remove_query_arg (), которые применяются для изменения и добавления строк запроса в URL в рамках рассматриваемой CMS.

Плагины, через которые можно получить XSS атаку:

• Jetpack
• WordPress SEO
• Google Analytics by Yoast
• All In one SEO
• Gravity Forms
• Многочисленные плагины от Easy Digital Downloads
• UpdraftPlus
• WP-E-Commerce
• WPTouch
• Download Monitor
• Related Posts for WordPress
• My Calendar
• P3 Profiler
• Give
• Многочисленные продукты от iThemes, включая Builder и Exchange
• Broken-Link-Checker
• Ninja Forms

Если вы используете какой-либо из перечисленных выше плагинов, рекомендуется немедленно его обновить. Эксперты Sucuri предупреждают, что список неполный – уязвимость может быть обнаружена и в других плагинах.

Источник

Сообщение отредактировал zerosoul - 24.4.2015, 15:52