На прошлой неделе в популярном SEO-плагине Yoast для WordPress была обнаружена уязвимость в виде слепой инъекции SQL . Учитывая серьезность уязвимости и тот факт, что плагин установлен более чем на миллион сайтов WordPress, команда безопасности WordPress.org выдвинула принудительное обновление , чтобы уменьшить возможность массового использования.
После этого инцидента команда фреймворка Pods заранее провела проверку безопасности своего плагина и обнаружила проблему, аналогичную той, что была обнаружена и раскрыта на прошлой неделе в плагине WordPress SEO. Участник Джош Поллок описывает проблему в объявлении о выпуске :
Мы считаем, что это особенно серьезная проблема, поскольку она возникла в классе PodsUI, который используется не только для администратора модулей, но также используется многими конечными пользователями для создания внешних и внутренних интерфейсов управления контентом для других пользователей. -админ пользователей.
Проблема возникла примерно в строке 859 класса PodsUI. Параметр orderby, который передается из браузера в переменной GET, впоследствии использовался в запросе SQL без надлежащей очистки.
В результате вредоносные или другие непреднамеренные SQL-запросы могут быть отправлены в базу данных путем манипулирования запросом GET.
Pods 2.5.1.2, выпущенный сегодня, представляет собой обновление безопасности, которое устраняет эту уязвимость. Если вам требуется более ранняя версия плагина, исправленные версии старых версий доступны на странице выпусков . Всем пользователям рекомендуется немедленно обновиться.
Платформа Pods используется для создания, управления и развертывания настраиваемых типов контента и полей. Он активен в более чем 30 000 установок WordPress. Участники проекта считают, что прозрачность Yoast в отношении недавней проблемы безопасности вдохновила их команду на активное изучение модулей.
«Чтение подробностей их проблемы привело нас к поиску похожих проблем безопасности в модулях», — сказал Поллок. «Мы приветствуем их ответственное раскрытие информации сообществу. Публикация подробностей помогает другим разработчикам работать над повышением безопасности своей кодовой базы».
Готовятся новые обновления безопасности для популярных плагинов WordPress
Все относительно сложные плагины время от времени будут иметь проблемы с безопасностью, которые потребуют немедленного исправления. К счастью, авторы плагинов в этих сценариях быстро отреагировали.
Эта конкретная уязвимость не ограничивается модулями и SEO-плагином WordPress от Yoast. Поллок советует пользователям WordPress следить за обновлениями безопасности для других популярных плагинов.
«Наша команда провела поиск похожих проблем в нескольких других плагинах и сообщила о своих выводах их авторам», — сказал он. «В настоящее время мы не можем делиться подробностями по этим вопросам, но сделаем это, как только это станет возможным».
