В плагинах WordPress обнаружена ещё одна критическая уязвимость, которую злоумышленники могут очень быстро эксплуатировать в крупном масштабе, используя известные инструкции. На этот раз «провинился» плагин WP-Super-Cache, который генерирует статические HTML-файлы из динамических блогов на платформе WordPress. В плагине обнаружена стойкая уязвимость к межсайтовому скриптингу (XSS). Она позволяет атакующей стороне внедрить вредоносный код в HTML-страницы, что создаются с помощью этого расширения. Как видно из опубликованного кода, проблема в том, что плагин присоединяет к содержимому страницы значение переменной $details[ ‘key’ ] без предварительной фильтрации на предмет секретной информации. Таким образом, можно использовать функцию get_wp_cache_key() для внедрения постороннего скрипта в веб-страницу. Эксплуатация бага осуществляется очень просто, а уровень опасности — высокий, 8 из 10 баллов по шкале опасности, считают специалисты Sucuri, которые обнаружили уязвимость и описали её в своём блоге. Всем пострадавшим настоятельно рекомендуется установить новую версию плагина 1.4.4, где баг исправили. --- Добавлено, 9 апр 2015 ---
согласен в чистой cms уязвимостей находят гораздо меньше, в основном уязвимости находят в модулях. А если вам нужны конкретные цифры, то примерно 1125 уязвимостей найдено в joomla против 880 в wordpress,
в этом то и дело) виновата не джумла) виноваты разрабы дополнений, а тут говорилось про дыру в WP стандартной поставки.
ладно, ладно.. я тоже поспешил с выводами другая, по-моему, уязвимость была в вп непосредтсвенно. но, если что, код wp (как разрабу на пхп) не нравится чуть больше, чем полностью
Тут я абсолютно согласен. Чего стоит одна только матрёшка с loop И не знаю как сейчас, но ещё пару лет назад там было огромное наследие функционального стиля со скромными вкраплениями ООП.
Что за идиотские вопросы? Написано же: Если у вас версия плагина такая или новее - значит для вас это уже не актуально, иначе - актуально.
