Плагин All in One SEO Pack устраняет уязвимость XSS

На этой неделе All in One SEO Pack исправил XSS-уязвимость, которая была обнаружена 10 июля исследователями безопасности из Wordfence. По данным WordPress.org, у популярного плагина более 2 миллионов активных установок.

Исследователи Wordfence классифицировали это как «проблему безопасности средней степени серьезности», которая может привести к «полному захвату сайта и другим серьезным последствиям»:

Этот недостаток позволял аутентифицированным пользователям с доступом на уровне участника или выше иметь возможность внедрять вредоносные скрипты, которые будут выполняться, если жертва получит доступ к странице «все сообщения» панели wp-admin.

Версия 3.6.2, выпущенная 15 июля 2020 года, включает в себя следующее обновление в журнале изменений: «Улучшен вывод мета-полей SEO + добавлена ​​дополнительная очистка для усиления безопасности».

Пользователям All in One SEO Pack настоятельно рекомендуется выполнить обновление до последней версии. На момент публикации только 12% пользователей плагина используют версии 3.6.x, включая три самые последние версии. Это оставляет уязвимым более 1,7 миллиона установок (88% пользователей плагина).

Многие пользователи не заходят на свои сайты WordPress достаточно часто, чтобы своевременно узнавать об обновлениях безопасности. Авторы плагинов часто не афишируют важность обновления на своих сайтах или в социальных сетях. Это тот тип ситуации, который WordPress 5.5 должен помочь смягчить, поскольку он вводит элементы управления администратора на панели инструментов, которые позволяют пользователям включать автоматические обновления для тем и плагинов.