A descoberta recente de uma vulnerabilidade crítica de cross-site scripting (XSS) nas versões 3.1.6 e abaixo do popular plugin WP Adminify é extremamente preocupante para os proprietários de sites WordPress. Essa vulnerabilidade, se explorada, pode permitir que invasores injetem código JavaScript malicioso em painéis de administração e fronts voltados para sites.
Conforme relatado pelo pesquisador de segurança Rio Darmawan, essa vulnerabilidade decorre de sanitização de entrada insuficiente no código do plugin. Administradores de sites que usam versões vulneráveis do WP Adminify são fortemente aconselhados a atualizar ou remover o plugin imediatamente. Infelizmente, no momento da escrita, nenhuma versão corrigida parece estar disponível.
Para proprietários de sites que não conseguem atualizar ou remover o WP Adminify, precauções extras são necessárias. Habilitar um firewall de aplicativo da web (WAF) como o plugin de firewall gratuito do WordPress do wp-firewall.com pode fornecer uma camada adicional de proteção enquanto um patch é desenvolvido. Um WAF inspeciona o tráfego de entrada e bloqueia tentativas de XSS e outros ataques antes que eles cheguem ao site.
Com vulnerabilidades XSS entre as mais comuns e perigosas enfrentadas por sites WordPress hoje, pedimos aos usuários do WP Adminify que tomem medidas. Migre para uma alternativa segura ou implemente mitigações temporárias como um WAF. Não deixe seu site e seus dados expostos!
Os leitores podem melhorar sua postura de segurança no WordPress inscrevendo-se no plugin de firewall gratuito para WordPress do wp-firewall.com por meio de sua página de preços: https://wp-firewall.com/pricing/
fonte: vuldb.com