GK
ох сдается мне тут XSS есть https://plugins.trac.wordpress.org/browser/embed-comment-images/trunk/eiic.php#L67
Size: a a a
2017 August 16
GK
можно выбраться из ковычек src="" т.к. регулярка только \s проверят
GK
поставить onload и вуаля
GK
дырявое дерьмо однако
PM
аха спасибо) поищу еще
GK
это я про embed-comment-images
GK
comment-attachment надо тоже смотреть
PM
я понял, да
PM
а плагины вообще модерацию какую то проходят ведь перед публикацией?
GK
проходят, статический анализ
GK
но он такое не ловит
GK
ловит типичную херню, а XSS сложновато поймать
GK
я стабильно раз-два в квартал найденые уязвимости шлю им
AY
вот эта хрень даже из буфера может картинки втыкать в комменты
AY
но все никак времени не хватает допилить туда форму выбора с D&D
GK
о точно я никак не мог вспомнить кто-то же из наших делал
AY
будь так ласков, добавь. я помогу )