Uzbuna: XSS ranjivost u popularnom Vordpres dodatku za preporuke članaka
Otkrivena Stored XSS ranjivost u Contextual Related Posts Vordpres dodatku verzije 4.2.1 i starije. Potrebno odmah ažuriranje.
Šta se desilo?
Bezbednosni istraživači su otkrili ozbiljnu ranjivost u Vordpres dodatku Contextual Related Posts u verzijama do 4.2.1. Napadač sa pristupom na korisničkom nivou može ubaciti zlonamerni kod kroz parametar 'other_attributes' koji će se izvršiti svaki put kada neko poseti pogođanu stranicu.
Koga pogađa?
Ugroženi su Vordpres sajtovi koji koriste Contextual Related Posts dodatak verzije 4.2.1 ili starije. Rizik postoji ako je na sajtu aktiviran pristup nivoa Contributor ili viši, što znači da su mali timovi i sajtovi sa delegiranom uređivačkom moći posebno osetljivi. Velike organizacije sa strogom kontrolom korisnika takođe mogu biti pogođene ako im napadač dobije pristup sa takvih dozvola.
Kako se zaštititi?
- Odmah ažurirajte Contextual Related Posts dodatak na verziju noviju od 4.2.1
- Preispitajte koje osobe zaista trebaju pristup nivoa Contributor ili Editor i odstranite nepotrebne dozvole
- Implementirajte Web Application Firewall (WAF) koji može detektovati i blokirati XSS pokušaje
- Redovno pratite Vordpres bezbednosne izveštaje i preporuke proizvođača dodataka
- Razmotrите korišćenje bezbednosnih dodataka koji prate i sprečavaju sumnjive radnje korisnika
Tehnički detalji
CVE-2026-2986 se odnosi na Stored Cross-Site Scripting (XSS) vulnerabilnost klasifikovanu kao CVSS 6.4 (MEDIUM). Ranjivost je posledica nepravilne sanitizacije ulaza i nedoslednog bekslešovanja izlaza u komponenti koja obrađuje dodatne HTML atribute. Napad zahteva autentifikaciju sa pravima koja prelaze nivo običnog autora.
Preporuka Sajber Radara
Ako koristite ovaj popularan dodatak, ažuriranje je neophodno i hitno. Pohvatajte priliku da revidirate dozvole korisnika na vašem Vordpres sajtu - ograničiti pristup na onaj koji je zaista neophodan je jedan od najboljih načina da se zaštitite od ovakvih pretnji.