Многочисленные плагины WordPress уязвимы для XSS-атак вследствие неправильного использования функций add_query_arg() и remove_query_arg(). Эти популярные функции применяются разработчиками для добавления и изменения строк запросов к URL в WordPress. Официальная документация WordPress (Codex) для этих функций была не слишком понятной, что вводило в заблуждение многих разработчиков, вследствие чего они использовали эти функции небезопасным способом. Разработчики считали, что эти функции очистят пользовательский ввод за них, однако они этого не делали. Эта простая…