WPML je jedním z oblíbených a často používaných pluginů, který se používá pro tvorbu vícejazyčných webů. V nedávné době se však kvůli špatně zabezpečenému výstupu u WPML objevila XSS zranitelnost.
O pluginu WPML
WPML je prémiový plugin, který umožňuje jednoduše překládat webové stránky do více jazyků. Mezi jeho velké výhody patří kompatibilita s různými page buildery (DIVI…) a pluginy (překlad vlastních polí pluginu ACF…). Kromě toho má plugin pozitivní vliv na SEO, kde můžeme například nastavit správnou URL překládaným stránkám a meta popisky k překladům.
WPML bohužel neposkytuje žádnou nezpoplatněnou verzi. Na výběr máme různé licence od 39 $/rok, až do 199 $/rok.
WPML můžete stáhnout zde.
Zranitelnost WPML
Zranitelnost vzniká tím, že plugin neodstraňuje, nebo nenahrazuje speciální znaky v URL adrese, před jejich zobrazením na stránce.
Tato zranitelnost může vést k tzv. „Reflected XSS“, což jsou útoky, u kterých je škodlivý skript součástí požadavku odeslaného na server. Tento požadavek následně zahrne skript do své odpovědi, která je odeslána zpět prohlížeči.
Zranitelnost se týká pouze verzí, které jsou nižší, než < 4.6.1. Pokud tedy stále používáte některou ze zastaralých verzí, neprodleně svůj plugin aktualizujte.
Více o tom, co přesně zranitelnost ve WordPress pluginech a šablonách znamená najdete zde.
Zdroj: https://wpscan.com/vulnerability/b9cc519c-7ec2-42c3-9f42-01e928e12139/