Wordfence опубликовала сообщение о серьезной уязвимости межсайтового скриптинга без аутентификации в плагине Limit Login Attempts, который работает на более чем 600 000 сайтов WordPress.
Проблема безопасности была обнаружена разработчиком Wordfence Марко Воцшкой еще в январе 2023 года. Она была передана в команду специалистов плагинов WordPress, которая подтвердила получение отчета почти через два месяца спустя, 24 марта 2023 года.
«Это может быть использовано не аутентифицированными злоумышленниками для внедрения вредоносного JavaScript в базу данных затронутого сайта, который может быть выполнен при доступе администратора сайта к странице регистрации», — сказал Воцшка.
Версия 1.7.2 плагина устраняет уязвимость. Она была выпущена 4 апреля с пометкой в журнале изменений «Исправления безопасности». Версия 1.7.1 и предыдущие версии остаются уязвимыми.
В августе 2021 года у плагина было более 900 000 активных пользователей, а в 2018 году — более 2 миллионов, но, похоже, он умирает медленной смертью и больше не поддерживается, поскольку не обновлялся уже несколько лет.
Wordfence в своем консультативном письме приводит более подробную информацию о том, как плагин может быть использован, и советует пользователям немедленно обновиться.