Вразливість XSS у плагіні SyntaxHighlighter Evolved

автор Дмитро Кондрюк

22.10.2019

0

Опис проблеми

Під час перевірки коду плагінів та тем, які виконує команда проекту wordfence, було виявлено вразливість XSS у плагіні для WordPress з іменем SyntaxHighlighter Evolved. SyntaxHighlighter Evolved наразі має близько 40 000+ активних установок, багато сайтів, на зразок нашого, викристовують SyntaxHighlighter для публікації зразків коду в новинах.

SyntaxHighlighter за замовчуванням створює посилання для URL-адрес в тілі короткого коду, що використовується плагіном. Регулярний вираз для обробки цих адрес недостатньо безпечний, мається на увазі, саме через недостатню “фільтрацію” даних цим виразом зловмисник може зберігати в коментарях певну інформацію, що потім відображатиметься в розділі коментарів та на сторінці модерації коментарів у WP Admin.

*.wordpress.com Sites під загрозою

Оскільки автором плагіну був один з програмістів команди Automattic (розробники WordPress), команада wordfence також перевірила, чи не використовується цей плагін на сервісі блогів wordpress.com, і виявилося – що він використовується для підсвчування коду в коментарях на сайтах, розміщених на даному сервісі. Звісно, що розробників було повідомлено про проблему і її вже виправлено.

Виправлення

Для виправлення проблеми у плагіні, якщо ви його використовуєте, достатньо оновити його до версії 3.5.1 чи новіше, оскільки даний баг помічено в версіях нижче 3.5.0

Дмитро Кондрюк

Автор публікації Дмитро Кондрюк

В веб-індустрії з 2003 року. В 2009р. заснував проект Український WordPress (що у подальшому став офіційним сайтом команди локалізації WordPress в Україні). З 2010 року засновник і технічний директор проекту Український хостинг для WordPress (WPHost.me) - повноцінного хостинг-сервісу, максимально оптимізованого на використання CMS WordPress.

Є що відповісти?

Ваш email не буде публікуватися

Можна скористатися такими тегами в тексті:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>