В плагине SEOPress закрыта XSS уязвимость
29 июля 2021 года команда Wordfence Threat Intelligence инициировала процесс ответственного раскрытия информации об уязвимости, обнаруженной в плагине SEOPress под WordPress, установленном на более чем 100 000 сайтов.
Этот недостаток позволял злоумышленнику внедрить на уязвимый сайт произвольные веб-скрипты, которые выполнялись бы при каждом обращении пользователя к странице “Все сообщения”.
Пользователи Wordfence Premium получили правило брандмауэра для защиты от любых эксплойтов, нацеленных на эту уязвимость, 29 июля 2021 года. Сайты, все еще использующие бесплатную версию Wordfence, получат такую же защиту 28 августа 2021 года.
Мы первоначально связались с разработчиком плагина 29 июля 2021 года. Получив подтверждение соответствующего канала связи на следующий день 30 июля 2021 года, мы предоставили полную информацию о раскрытии информации. Разработчик быстро подтвердил сообщение, и 4 августа 2021 года было выпущено исправление в версии 5.0.4.
Мы настоятельно рекомендуем немедленно обновиться до последней исправленной версии SEOPress, версии 5.0.4, если вы в настоящее время используете уязвимую версию плагина.