XSS уязвимость в популярном WordPress плагине Calendar | Nemesida WAF

В популярном WordPress плагине Calendar  обнаружена XSS-уязвимость, позволяющая провести клиент-сайд атаку на пользователей CMS.

Уязвимости подвержены версии плагина >=1.3.7. Используя эту уязвимость злоумышленник может обойти фильтрацию вводимых данных и внедрить в страницу вредоносный код. Это может позволить ему захватить контроль над чужими учётными данными.

Уязвимость существует из-за возможности добавления скрытых полей календаря к любой странице. Добавление атрибутов к GET-запросу не фильтруется и позволяет злоумышленнику добавлять атрибуты к параметрам.

http:/host/2016/06/22/hello-world/?foo=whoeiii\%22%20accesskey=x%20onclick=alert(1);//

Использование Web Application Firewall позволяет блокировать подобные атаки даже при наличии уязвимости "нулевого дня".