В ходе аудита популярного плагина WP Fastest Cache команда Jetpack из компании Automattic обнаружила две уязвимости — возможность SQL-инъекции и хранимую XSS в комбинации с CSRF (CVE-2021-24869). Плагин кеширования WP Fastest Cache широко используется для ускорения и оптимизации работы WordPress-сайтов.

Из найденных проблем, согласно описанию, наиболее критична возможность XSS-атаки через CSRF. Эксплойт позволяет выполнить любое действие от имени совершившего вход админа, в том числе загрузить на сайт вредоносный JavaScript.

Возможность внедрения SQL-кода позволяет получить доступ к закрытой информации в базе данных сайта, в том числе к логинам и паролям пользователей.

Сборка с соответствующими исправлениями (0.9.5) вышла 11 октября.

Источник: anti-malware.ru