Comprehensive Google Map 9.1.3 eliminado

El plugin Comprehensive Google Map ha sido eliminado del repositorio oficial. Aunque es cierto que hacía tiempo que no se actualizaba, no parecía ser por incompatibilidades ya que estaba bien documentado.

Es por esto que han hecho un análisis de la última versión y se ha encontrado la posibilidad de ataques XSS y CSRF.

Por la parte del CSRF la situación es simple: este plugin no usa nonce, lo que implica esa posibilidad.

Con respecto al cross-scripting, la situación es que aunque se hacen una serie de limpiezas de datos, no se controla por completo que pueda haber contenido HTML, y por tanto la posibilidad de incluir un código de script.

$bad_entities = array(""", "'", "'");
$title = str_replace($bad_entities, "", $_POST['hidden-shortcode-title']);
$title = preg_replace('/\s+/', ' ', trim($title));

NOTA: Hay que reconocer que hace 4 años se anunció que este plugin no se iba a mantener.

Deja un comentario