Недавнее обнаружение критической уязвимости межсайтового скриптинга (XSS) в версиях 3.1.6 и ниже популярного плагина WP Adminify крайне тревожит владельцев сайтов WordPress. Эта уязвимость, если ее эксплуатировать, может позволить злоумышленникам внедрить вредоносный код JavaScript в админ-панели и фронты сайтов.
Как сообщил исследователь безопасности Рио Дармаван, эта уязвимость возникает из-за недостаточной очистки ввода в коде плагина. Администраторам сайтов, использующим уязвимые версии WP Adminify, настоятельно рекомендуется немедленно обновить или удалить плагин. К сожалению, на момент написания статьи исправленная версия, похоже, недоступна.
Для владельцев сайтов, которые не могут обновить или удалить WP Adminify, требуются дополнительные меры предосторожности. Включение брандмауэра веб-приложений (WAF), например, бесплатного плагина брандмауэра WordPress от wp-firewall.com, может обеспечить дополнительный уровень защиты, пока разрабатывается исправление. WAF проверяет входящий трафик и блокирует попытки XSS и другие атаки до того, как они достигнут сайта.
С уязвимостями XSS среди наиболее распространенных и опасных сайтов WordPress сегодня, мы призываем пользователей WP Adminify принять меры. Мигрируйте на безопасную альтернативу или реализуйте временные меры, такие как WAF. Не оставляйте свой сайт и данные открытыми!
Читатели могут улучшить свою безопасность WordPress, подписавшись на бесплатный плагин брандмауэра WordPress от wp-firewall.com на странице с ценами: https://wp-firewall.com/pricing/
источник: vuldb.com