Джефф Икус из WooThemes объявил в блоге компании о разработке тем, что компания выпустила обновления для всех своих продуктов, использующих библиотеку prettyPhoto . Обновление устраняет уязвимость межсайтового скриптинга на основе DOM, обнаруженную в 2014 году.
prettyPhoto — это клон лайтбокса jQuery, используемый в потенциально большом количестве продуктов WordPress. Если вы используете плагин или тему WordPress, основанную на prettyPhoto, свяжитесь с автором, чтобы убедиться, что он знает об этой уязвимости в системе безопасности. Если вы используете плагин prettyPhoto WordPress , убедитесь, что он работает под управлением версии 1.2, так как он содержит исправленную библиотеку.
Рискованное дело
В 2011 году TimThumb попал в заголовки газет , когда была обнаружена серьезная уязвимость в системе безопасности, которая использовалась для взлома нескольких веб-сайтов. В то время Бен Гиллбэнкс, сопровождающий библиотеки, подсчитал, что 95% всех коммерческих тем WordPress поддерживают TimThumb.
В конце 2014 года в плагине Slider Revolution была обнаружена уязвимость , которая позволила скомпрометировать более 100 000 веб-сайтов.
Использование сторонних скриптов и библиотек — это неплохо. Однако практика сопряжена с рядом рисков. Разработчики должны быть бдительными и брать на себя ответственность, связанную с доверием третьей стороне. Также крайне важно, чтобы разработчики делали все возможное для обновления своих продуктов и пользователей при обнаружении уязвимости в системе безопасности.
Если вы разработчик, сообщите нам критерии определения того, какие сторонние сценарии, библиотеки и инструменты вы используете.
