Vulnerabilidade XSS afeta mais de uma dúzia dos populares plugins do WordPress
- 23/04/2015
- Sem categoria
Na semana passada, a empresa de segurança Sucuri tem trabalhado com a equipe de segurança do WordPress para solucionar uma vulnerabilidade descoberta em mais de uma dúzia de plugins WordPress. A vulnerabilidade decorre do uso indevido das finções add_query_arg() e remove_query_arg().
Informações imprecisas dentro do WordPress Codex levaram muitos desenvolvedores a assumir essas funções. As páginas do Codex foram criados em 2009, mas no início deste ano, Madeira Samuel ‘Otto’ atualizou ambas as páginas de modo a incluir informações sobre o uso esc_url().
Informações imprecisas existe em ambas as páginas há mais de cinco anos, levando centenas, se não milhares, de desenvolvedores a usar código inseguro em plugins.
A vulnerabilidade foi relatada pela primeira vez por Joost de Valk, que tem um excelente post descrevendo o problema. A Sucuri trabalhou com Yoast e descobriu o problema que afeta muito mais do que apenas plugins como o WordPress SEO. A Sucuri auditou as melhores 300-400 plugins no diretório e encontrou pelo menos 15 plugins que contêm o código vulnerável.
Alguns deles são:
- Jetpack
- WordPress SEO
- Google Analytics
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP e-Commerce
- WPTouch
- Download Monitor
- P3 Profiler
- Give
- iThemes Exchange
- Broken-Link-Checker
- Ninja Forms
- Aesop Story Engine
- My Calendar
O diretório de plugins do WordPress conta com mais de 37.000 plugins e somente quase 400 plugins foram testados ou seja, foi somente uma verificação superficial e estão procurando uma forma de fazer tudo manualmente tais verificações e soluções, não há motivos para pânico mas sugerimos que mantenha seus plugins, temas e WordPress sempre atualizado e que acompanhe as notícias e sobre tudo, nunca utilizar temas ou plugins piratas pois poderá comprometer ainda mais seu site.
Relacionado
Rayonni Teixeira - Gerente de Contas & Suporte Sênior III
Sobre o blog
Este Blog tem o objetivo de divulgar as novidades da WebinHost e compartilhar notícias sobre hosting, servidores, empreendedorismo e todo universo tecnológico.