Ранее на этой неделе разработчик сообщил о проблеме XSS, аналогичной уязвимости целевой передачи данных, которая была зафиксирована в v4.1.2 и v3.4.0: атрибут шаблона данных для нашего инструментария и плагинов Popover не хватало надлежащей дезинфекции XSS HTML, которые могут быть переданы в значение атрибута.
Исправление включает в себя новый дезинфицирующее средство JavaScript, которое позволяет только в белом списке HTML элементов в атрибут еде данных. Разработчики могут изменить реализацию системы дезинфекции Bootstrap или настроить свою собственную функцию. В дополнение к исправлению уязвимости, Bootstrap опубликовал новую документацию дезинфицирующего средства для версий 4.3 и 3.4.
По данным BuiltWith,Bootstrap используется примерно 16% интернета. Он также широко используется в WordPress плагины и темы. Существуют сотни объявлений в WordPress.org Plugin каталог, которые реализуют Bootstrap в той или иной форме. Многие из них не обновлялись в течение нескольких месяцев или даже дольше, чем год. Трудно сказать, какие из них могут быть затронуты этой уязвимости, так как это зависит от того, как плагин автор реализовал Bootstrap и, в некоторых случаях, что пользователи решили выйти на передний план. Если у вас есть плагин или тема, которая использует Bootstrap, это может быть стоит войти в контакт с автором, чтобы увидеть, если обновление безопасности будет необходимо.
Оригинал: wptavern.com
Патчат и патчат. Всё-равно найдут ещё уязвимости)