Você está aqui: Home » Blog » Vulnerabilidade XSS (Cross Site Scripting) – Plugins do WordPress

Vulnerabilidade XSS (Cross Site Scripting) – Plugins do WordPress

39 Flares Twitter 1 Facebook 13 Google+ 4 LinkedIn 21 Email -- Filament.io 39 Flares ×
Foi descoberto em alguns plugins do WordPress vunerabilidades de Cross-site Scripting (XSS), esta vunerabilidade XSS é encontrada em aplicações web. Ele permite a ativação de ataques maliciosos ao injetar script do lado do cliente, através do (mal) uso das funções add_query_arg () e remove_query_arg (), popularmente utilizadas ​​pelos desenvolvedores para modificar e adicionar sequências de consulta para URLs dentro WordPress.

A documentação Oficial do WordPress (Codex) não é muito clara quanto ao uso destas funções, o que fez com que muitos desenvolvedores se enganassem deixando vulneráveis muitos dos mais populares plugins da ferramenta.

Até ao momento foram descobertas vulnerabilidades XSS nos seguintes plugins do WordPress. Se você usar qualquer um desses plugins, certifique-se de atualizá-los agora! Vamos continuar a investigar e procurar mais plugins vulneráveis ​​e manter a nossa lista aqui atual:

  •     Jetpack
  •     WordPress SEO
  •     Google Analytics by Yoast
  •     All In one SEO
  •     Gravity Forms
  •     Multiple Plugins from Easy Digital Downloads
  •     UpdraftPlus
  •     WPECommerce
  •     WPTouch

Existem provavelmente mais alguns plugins adicionais alvos da vulnerabilidade XSS que não estão listados. Se você é programador, veja o seu código para verificar a utilização destas duas funções:

add_query_arg
remove_query_arg

Importante! Principalmente, não presuma que add_query_arg e remove_query_arg vai escapar a introdução de dados do utilizador. Certifique-se de que está utilizando funções de escape antes em conjunto com as funções referidas anteriormente:

esc_url()
esc_url_raw()

A equipe do WordPress fornece mais orientações de utilização aqui e você também pode verificar a fonte que utilizamos para escrever este post importanssímo.

Nós da Websolute já atualizamos os plugins, acesse o seu painel do wordpress e atualize também! É uma medida simples que ajudará a evitar muitas dores de cabeça.

Sobre Gabriela Fernandes

Graduada em Marketing, é responsável pelo Marketing Digital aqui na Websolute. Apaixonada por criação de conteúdo, curiosanata sobre o Jelastic e expert em estratégias digitais

2 Comentários

  1. Larissa says:

    Esse erro já me causou grandes problemas. Espero que concertem isso logo…

    • Larissa, siga os passos deste artigo. A solução é atualizar os plugins e a versão do WordPress, se houver algum problema após as atualizações, nos informe para compartilhar (:

Deixe o seu comentário!

Voltar ao topo
Optimization WordPress Plugins & Solutions by W3 EDGE