Automattic kompaniýanyň Jetpack topary meşhur WP Fastest Cache plagini audit etmegiň dowamynda iki sany gowşaklyklary, ýagny SQL-inýeksiýa we CSRF (saýtara galp ýüzlenmeleri ibermek gowşaklygy) bilen bilelikde ulanylýan XSS (saýtara skripting) gowşaklyklary (CVE-2021-24869) ýüze çykardy. WP Fastest Cache plagini WordPress saýtlary tizlendirmek we optimizirlemek üçin giňden ulanylýar.

Beýan edilmegine görä, tapylan meseleleriň arasynda iň howplusy CSRF (saýtara galp ýüzlenmeleri ibermek) gowşaklygyň kömegi bilen ulanylýan XSS (saýtara skripting) gowşaklygy bolup durýar. Bu gowşaklygyň ulanylmagy ulgama giren administratoryň adyndan islendik hereketi amala aşyrmak, şol sanda saýta zyýanly JavaScript kody ýüklemek mümkinçiligini berýär.

SQL koduny girizmek mümkinçiligini berýän gowşaklyk saýtyň maglumatlar binýadynda saklanýan gizlin maglumatlaryny, şol sanda ulanyjylaryň login we açar sözlerini almak mümkinçiligini berýär.

Degişli düzedişleri öz içine alýan gurnama (0.9.5) okýabr aýynyň 11-ne çykaryldy.

Çeşme: anti-malware.ru