Плагин Shortcodes Ultimate , используемый на более чем 700 000 сайтов WordPress для создания таких вещей, как вкладки, кнопки и аккордеоны, исправил уязвимость в версии 5.12.1. В журнале изменений плагина просто говорится: «Это обновление устраняет уязвимость безопасности в генераторе шорткодов . К чести автора, в журнале изменений это четко обозначено как обновление безопасности, хотя и не содержит конкретных подробностей.
Об уязвимости сообщил исследователь Дейв Джонг из Patchstack, и она зарегистрирована в Национальной базе данных уязвимостей (NVD) как уязвимость подделки межсайтовых запросов (CSRF), приводящая к изменению предустановленных настроек плагина. Он был исправлен две недели назад, и на этой неделе NVD опубликовала бюллетень.
На данный момент известно, что уязвимость не использовалась, но пользователям рекомендуется обновиться до последней версии. Согласно статистике WordPress.org , 46% пользователей плагина используют версии старше 5.12.x. С тех пор автор плагина Shortcodes Ultimate выпустил версию 5.12.2, в которой исправлена проблема с пресетами генератора шорткодов, появившаяся в предыдущем обновлении.
