admin 
„Ocean Extra WordPress“ papildiniui buvo išduotas patarimas, kuris yra jautrus saugomam scenarijui, kuris leidžia užpuolikams įkelti kenksmingus scenarijus, vykstančius svetainėje, kai vartotojas apsilanko paveiktoje svetainėje.
„Ocean Extra WordPress“ papildinys
Pažeidžiamumas daro įtaką tik „Ocean Weake“ papildiniui, kurį sukūrė „OceanWP“ – papildinys, pratęsiantis populiarią „OceanWP WordPress“ temą. Papildinys prideda papildomų funkcijų prie „OceanWP“ temos, tokios kaip galimybė lengvai priglobti šriftus vietoje, papildomus valdiklius ir išplėstines navigacijos meniu parinktis.
Remiantis „WordFence“ patarimu, pažeidžiamumas atsiranda dėl nepakankamos įvesties sanitarijos ir išvesties pabėgimo.
Įvesties sanitarija
Įvesties sanitarija yra terminas, naudojamas apibūdinti tai, kas įvesti į „WordPress“, pavyzdžiui, formoje ar bet kuriame lauke, kuriame vartotojas gali ką nors įvesti. Tikslas yra filtruoti netikėtus įvesties rūšis, tokias kaip kenksmingi scenarijai **, **, pavyzdžiui. Sakoma, kad įskiepio trūksta (nepakankamai).
Išėjimo išėjimas
Išvestis pabėga panašiai kaip įvesties sanitarija, tačiau kita kryptimi – saugumo procesas, užtikrinantis, kad bet kas, kas išvedama iš „WordPress“, yra saugus. Jis patikrina, ar išvestyje nėra simbolių, kuriuos naršyklėje galima interpretuoti kaip kodą, ir vėliau vykdoma, pavyzdžiui, tai, kas randama saugomo skersinio scenarijaus (XSS) išnaudojime. Tai yra kitas dalykas, kurio trūko „Ocean Extra“ papildinyje.
Kartu nepakankamas įvesties sanitarija ir nepakankamas išvesties išėjimas leidžia užpuolikams įkelti kenksmingą scenarijų ir turėti jį „WordPress“ svetainėje.
Vartotojai ragino atnaujinti papildinį
Pažeidžiamumas daro įtaką tik autentifikuotiems vartotojams, turintiems bendraautorių lygio privilegijas ar aukštesnes privilegijas tam tikru mastu mažinant šio konkretaus išnaudojimo grėsmės lygį. Šis pažeidžiamumas daro įtaką versijoms iki 2.4.9 versijos ir įskaitant. Vartotojams patariama atnaujinti savo papildinį į naujausią versiją, šiuo metu 2.5.0.
Pateiktas „Shutterstock“/„Nithid“ vaizdas
