Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 21/4/2015
Mindst 17 plugins til WordPress indeholder alvorlige sikkerhedshuller. Udviklerne har fjernet sårbarhederne.Problemet blev først opdaget i pluginnen WordPress SEO fra Yoast. Det var en sårbarhed af typen cross-site scripting. Da udvikleren undersøgte, hvordan fejlen var opstået, opdagede han, at dokumentationen til to funktioner i WordPress kunne misforstås: Det så ud som om, funktionerne fjernede risikable tegn i input-data. Det gjorde de ikke.
Udvikleren, Joost de Valk, tænkte, at flere andre programmører kunne have begået samme fejl. En analyse viste, at en række andre plugins havde sårbarheder af samme type.
I samarbejde med sikkerhedsfirmaet Sucuri har de involverede udviklere udsendt rettede versioner af mindst 17 plugins. Det drejer sig om følgende:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Flere plugins fra Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Flere produkter fra iThemes, herunder Builder og Exchange
- Broken-Link-Checker
- Ninja Forms
Risikoen ligger i funktionerne add_query_arg og remove_query_arg. Hvis man bruger dem, skal man kalde funktionen esc_url.
Anbefaling
Administratorer af WordPress-sites skal tjekke, om der er kommet opdateringer til deres plugins. Udviklere skal tjekke, om de anvender add_query_arg eller remove_query_arg på en usikker måde.