Sucuri：眾多WordPress外掛程式含有XSS攻擊漏洞

資安業者Sucuri警告，許多知名WordPress外掛程式都因誤用add_query_arg()及remove_query_arg()功能而含有跨站指令碼（Cross-site Scripting，XSS）攻擊漏洞，因而警告開發人員及用戶進行更新。

add_query_arg()可用來回復一個修改過的URL查詢字串，remove_query_arg()則可移除查詢字串中的項目或名單，都是開發WordPress外掛程式的熱門功能。XSS攻擊通常是利用網頁開發時留下的漏洞，把惡意指令注入網頁，讓造訪惡意網頁的使用者可能會被竊取認證cookie等資料。

Sucuri創辦人暨技術長Daniel Cid表示，WordPress的官方文件（WordPress Codex）對這些功能的說明並不是很清楚，因而誤導外掛程式開發人員，讓他們以不安全的方式使用這些功能，誤以為它們會忽略使用者的輸入，造成許多受歡迎的外掛程式都有XSS漏洞。

目前已知受到影響的WordPress外掛程式約有二十款，包括Jetpack、WordPress SEO、Google Analytics by Yoast、All In one SEO、來自Easy Digital Downloads的許多外掛程式、WP-E-Commerce等，而這些外掛程式皆已修補完畢。Cid建議WordPress用戶應更新所有過期的外掛程式。

Sucuri迄今只分析了前400大WordPress外掛程式，估計還有更多的外掛程式受到影響，呼籲開發人員應檢查外掛程式中對上述兩項功能的使用方式。（編譯/陳曉莉）