Astra patří mezi populární WordPress šablony, která má více jak 1 milion aktivních instalací. Teprve včera byla zjištěna XSS hrozba, která se projevovala prostřednictvím zobrazovaného jména uživatele ve všech verzích až do 4.6.8. Pokud jste tak již neudělali, neprodleně aktualizujte šablonu na nejnovější verzi(4.6.9 a výše)!
XSS(Cross-Site Scripting Vulnerability)
Pokud existuje způsob, kterým lze vkládat data, a zároveň plugin nebo šablona dostatečně nefiltruje to, co je na vstupu nebo výstupu, tak lze útočníkovi jednoduše nahrát škodlivý obsah na naše webové stránky.
Konkrétní vyjádření ke zmiňovanému problému ze strany WordFence:
The Astra theme for WordPress is vulnerable to Stored Cross-Site Scripting via a user's display name in all versions up to, and including, 4.6.8 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
Obecně se tedy doporučuje, aby uživatelé šablonu aktualizovali. Nejprve by však měli otestovat, zda aktualizovaná šablona nezpůsobuje žádné chyby, na které si několik uživatelů stěžovalo.
