Shortcodes Ultimate 插件已在超过 700,000 个 WordPress 网站上用于创建选项卡、按钮和手风琴等内容,它已在 5.12.1 版本中修补了一个漏洞。该插件的变更日志简单地说,“此更新修复了短代码生成器中的一个安全漏洞。值得称赞的是,更新日志清楚地将其表示为安全更新,尽管它没有提供具体细节。
该漏洞由 Patchstack 的研究员 Dave Jong 报告,并在国家漏洞数据库(NVD) 中记录为导致插件预设设置更改的跨站点请求伪造 (CSRF) 漏洞。它在两周前进行了修补,NVD 本周发布了该公告。
目前尚不清楚该漏洞已被利用,但建议用户更新到最新版本。根据 WordPress.org stats,46% 的插件用户群运行在 5.12.x 之前的版本上。Shortcodes Ultimate 插件作者已经发布了 5.12.2 版本,该版本修复了之前更新中引入的 Shortcode Generator Presets 的问题。
https://wordpress.org/plugins/shortcodes-ultimate/
