WordPress выпустила обновление безопасности для закрытия трех уязвимостей: одной с высокой степенью риска (Stored XSS) и двух со средней (Prototype Polution).
Stored XSS
Самую большую угрозу представляла собой уязвимость сохраненного межсайтового скриптинга (Stored XSS). Она была обнаружена командой безопасности WP в файлах WordPress Core.
Уязвимости этого типа позволяют злоумышленникам загрузить вредоносный скрипт прямо на сайт. Чаще всего эти уязвимости находятся в тех частях сайта, которые связаны с отправкой данных – например, это может быть публикация новой записи или отправка заполненной формы.
Обычно для защиты этих форм используется так называемая «санитизация». Это процесс, который не дает отправить через форму недопустимое содержимое, такое как файл JavaScript.
Что касается тех файлов, где была обнаружена уязвимость, то в них тоже использовалась санитизация, но она была настроена таким образом, что ее можно было обойти.
В новой версии WordPress все три уязвимости, включая Stored XSS, были закрыты.
Как защитить свой сайт
Всем владельцам сайтов на WP рекомендуется незамедлительно установить последнюю версию – 5.9.2.