Была выпущена рекомендация для популярного плагина WPBakery, который входит в состав тысяч тем WordPress. Эта уязвимость позволяет злоумышленникам, прошедшим проверку подлинности, внедрить вредоносные сценарии, которые выполняются, когда кто-то посещает уязвимую страницу.

Плагин WPBakery

WPBakery — это плагин для создания страниц с возможностью перетаскивания для WordPress, который позволяет пользователям легко создавать собственные макеты и веб-сайты без написания кода. WPBakery часто поставляется с премиальными темами. Разработчики тем лицензируют его, чтобы они могли привнести в свои темы WordPress возможности перетаскивания страниц.

Уязвимость WPBakery

Плагин WordPress WPBakery Page Builder был обнаруженный иметь недостаточную очистку ввода и экранирование вывода в модуле Custom JS.

Недостаточная очистка ввода и экранирование вывода — это недостатки, которые позволяют злоумышленникам загружать вредоносный код на веб-сайт и заставлять пораженный сайт выводить вредоносный код. В общем, это может привести к таким уязвимостям, как межсайтовый скриптинг (XSS) и SQL-инъекция.

• Фильтрация входной очистки загружает пользовательские данные перед их сохранением или обработкой плагином.
• Экранирование вывода преобразует символы, имеющие значения HTML, в безопасный вывод перед его отображением на веб-странице. Это предотвращает вывод исполняемого кода на действующую веб-страницу и влияние на пользователей.

Эта уязвимость позволяет злоумышленникам с доступом на уровне участника или выше внедрять произвольные скрипты на затронутые веб-сайты. Уязвимость затрагивает версии плагина WPBakery до версии 8.6.1 включительно.

Пользователям плагина рекомендуется обновить WPBakery до последней версии, которая на данный момент является версией 8.7.

Рекомендованное изображение Shutterstock/3D-обои с изображением