Плохая документация по WordPress позволяет разработчикам выпускать плагины с ошибкой XSS

Неоднозначная документация WordPress привела многих разработчиков плагинов и тем, чтобы сделать ошибку, которая подвергла веб-сайты атакам межсайтового скриптинга (XSS).

Такие атаки включают в себя обман пользователей сайта щелкнув по специально созданным URL-адресам, которые выполняют код изгоев JavaScript в своих браузерах в контексте этого веб-сайта.

Влияние зависит от роли пользователя на веб-сайте. Например, если жертвы имеют административные привилегии, злоумышленники могут инициировать административные действия изгоев.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Уязвимость возникает из-за небезопасного использования двух функций WordPress, называемых add_query_arg и remove_query_arg и был обнаружен недавно исследователями из аудит кода компании Scrutinizer.

Исследователи Scrutinizer первоначально обнаружили проблему в популярных плагинах WordPress SEO и Google Analytics, разработанных Yoast. Joost de Valk, основатель и владелец Yoast, затем понял, что такая же ошибка может существовать и в других плагинах.

«Я понял, что и в Codex, и на документации разработчика на WordPress.org для этих функций отсутствует тот факт, что вам нужно было избежать их выхода », - сказал де Вальк в понедельник в блоге. «Фактически, примеры в них при копировании сразу создадут код для использования».

Вместе с членами команды WordPress и исследователями из фирмы Sacuri по безопасности в Интернете де Вальк начал проверять другие популярные плагины для того же недостатка и , конечно же, экземпляры начали накапливаться.

Сканирование только 400 лучших подключаемых модулей - официальный репозиторий WordPress имеет более 37 000, - показала более десятка уязвимых, согласно Sucuri. Темы затронуты.

Плагины, уязвимые до сих пор, получили исправления, поэтому пользователям WordPress настоятельно рекомендуется проверять свои административные панели для любых доступных обновлений подключаемого модуля. Некоторые плагины были обновлены автоматически, а другие - нет.

Поскольку существует много других уязвимых плагинов и тем, которые еще не были идентифицированы, разработчикам рекомендуется проверить свой собственный код для небезопасного использования add_query_arg и remove_query_arg.

«Убедитесь, что вы избегаете их перед использованием», - сказали исследователи Сукури. «Мы рекомендуем использовать с ними функции esc_url () или esc_url_raw (). Вы не должны предполагать, что add_query_arg и remove_query_arg избегают ввода пользователя ».

Официальная документация WordPress для этих функций также была обновлена, чтобы лучше отражать необходимость избежать ввода пользователем.

В зависимости от того, что затронутые плагины делают , они могут открывать недостатки межсайтового скриптинга на интерфейсных или back-end страницах. Это означает, что в некоторых случаях атаки XSS могут запускаться против обычных пользователей, а в других - только для администраторов.