Специалисты Wordfence выявили серьёзную уязвимость в WordPress-плагине WPBakery Page Builder, который установлен на 4,3 млн сайтов.
WPBakery – это платный плагин, который позволяет создавать пользовательские шаблоны страниц с помощью интерфейса с механикой «drag and drop».
Обнаруженная уязвимость делает возможными атаки «межсайтового скриптинга» (XSS). Это один из самых популярных видов атак с применением JavaScript.
Уязвимость была выявлена в конце июля 2020 года. Патч был выпущен в конце августа, но некоторые проблемы остались, поэтому в начале сентября вышел второй патч.
Окончательно проблема была решена с помощью патча, выпущенного 24 сентября.
При этом в журнале изменений разработчики не указали, что эти обновления были связаны с вопросами безопасности, и пометили их просто как «улучшения».
Между тем, уязвимость является довольно серьёзной, поэтому пользователям плагина рекомендуется обновить его до последней версии – 6.4.1.