Уязвимость XSS: что делать, если вы покупаете или продаете товары на Themeforest и CodeCanyon

Ранее на этой неделе одна из крупнейших скоординированных усилий авторов плагинов WordPress, Sucuri , и команды безопасности WordPress привела к тому, что ряд популярных плагинов получили обновления безопасности. Из-за неточной информации в кодексе WordPress ряд разработчиков ошибочно предположили, что функции add_query_arg() и remove_query_arg() должным образом избегают пользовательского ввода.

В совокупности Themeforest и CodeCanyon продают около 8,8 тыс. товаров WordPress. Стивен Кронин, руководитель группы качества Themeforest и CodeCanyon, опубликовал на официальном форуме сообщение , в котором описывается уязвимость и то, как продавцы могут проверить ее в своих товарах. Если товары, которые вы продаете, используют следующий код, это, вероятно, влияет.

• add_query_arg()
• remove_query_arg()
• Класс активации плагина TGM

TGM Plugin Activation — это библиотека PHP, созданная и поддерживаемая Томасом Гриффином и Гэри Джонсом, которая позволяет разработчикам запрашивать или рекомендовать плагины для тем или для плагинов. Он позволяет пользователям устанавливать и даже автоматически активировать плагины по отдельности или массово, используя собственные классы, функции и интерфейсы WordPress. Продавцы должны проверить свой код и следовать рекомендациям, опубликованным на сайте плагинов Make WordPress.

При проверке класса активации плагинов TGM была обнаружена XSS-уязвимость. С тех пор класс активации плагина TGM был обновлен, несмотря на то, что номер версии не изменился. Если вы являетесь продавцом и используете этот класс, вам необходимо обновить активацию плагина TGM до последней версии и обновить свой товар, чтобы включить последнюю версию.

OptionTree

Если вы используете OptionTree , группа проверки рынка уверена, что все экземпляры add_query_arg и remove_query_arg были правильно экранированы. В будущем будет выпущено обновление, в котором будут исключены эти функции, которые вы должны включить в свой предмет, но вы не должны откладывать обновление своих предметов, ожидая обновления.

Redux Фреймворк

Фреймворк Redux также использует add_query_arg и remove_query_arg , но большинство из них экранированы соответствующим образом. В теме есть несколько сомнительных областей, по которым группа проверки предоставит обновленную информацию после получения разъяснений.

Авторы темы

Envato свяжется с авторами тем, которые связали затронутые сторонние плагины, в ближайшие несколько дней, чтобы обновить вашу тему. Вам рекомендуется проверить связанные плагины до этого времени, чтобы узнать, затронуты ли они.

Покупатели

По словам Кронина, оцениваются все конкретные элементы WordPress. После завершения оценки покупатели, купившие затронутый товар, будут уведомлены об этом. Нет никаких сроков, когда оценка будет завершена, однако Кронин говорит, что это является приоритетом, и отчеты о ходе работы будут опубликованы в этой ветке форума .

Все руки на палубе

Кронин говорит: «При отправке обновления, устраняющего эти проблемы, включите примечание о том, что оно связано с уязвимостью XSS . Это позволит нам расставить приоритеты при рассмотрении обновлений».

В отличие от каталога плагинов WordPress.org, Themeforest и CodeCanyon предоставляют и уведомляют покупателей об обновлениях только в том случае, если они регистрируются в системе обновлений. Это не оптимальная процедура обновления, которая требует, чтобы покупатели согласились, а не отказались.

Важно, чтобы продавцы на торговых площадках Envato внесли свой вклад в проверку и исправление любых обнаруженных уязвимостей XSS. Также важно, чтобы линии связи между торговыми площадками и покупателями оставались открытыми, чтобы они могли как можно скорее обновлять информацию о приобретенных товарах. Если вы ведете бизнес с Themeforest или CodeCanyon, следите за обновлениями приобретенных вами товаров.