wp-polyfill-inert.min.js?ver=3.1.2
Ultima versão disponível (Versão 0.21.7 |) tem a biblioteca polyfill que foi comprometida, esta biblioteca permite que navegadores antigos ( ou que não suportem o html 5.0) simulem estas funcionalidades do html5.
Fui obrigado a desativar a biblioteca no Ingesc.org.br
para evitar comprometimento de dados
plugged.ninja/2024/06/se-voce-estiver-usando-o-codigo-polyfill-io-em-seu-site-remova-o-imediatamente
Foi a URL do polyfill.io que foi comprometida para as pessoas que a usavam como CDN; não qualquer biblioteca polyfill em si.
É seguro então rea-ativar o pluguin?
Não posso falar pelos mantenedores do Tainacan, mas para os meus sites WordPress eu não me preocupei porque meus sites hospedam o wp-polyfill-inert.min.js diretamente.
Além disso, eu trabalho para uma empresa de tecnologia multibilionária e tivemos um pouco de exposição a algumas ferramentas que usavam o CDN do polyfill.io. Mudamos essas ferramentas para um CDN diferente (polyfill-fastly.io) que traz a mesma biblioteca, já que a biblioteca em si não era o problema.
Sim @maxsteffens, acho que rolou uma confusão aí.
“polyfill” em si é um termo muito usado na área de desenvolvimento, muitas bibliotecas javascript usam este termo para identificar funcionalidades que ajudam a manter compatibilidade de recursos novos em navegadores antigos. Como o @Aaron bem explicou, o caso relatado diz respeito à scripts que eram puxados de um CDN (um servidor que hospeda scripts) cujo domínio era polyfill.io e este cara é que foi comprometido. Nós não usamos nada deste serviço no Tainacan pode fazer uma busca no código fonte se quiser.
Já o wp-polyfill-inert é um dos pacotes de polyfill que o WordPress usa. No nosso código, não referenciamos ele diretamente, mas o próprio WordPress o chama internamente quando usamos alguns dos seus recursos mais recentes (abra o editor do blocos, Gutenberg no seu site agora por exemplo e você verá que ele será chamado, mesmo com o Tainacan desativado). Mas não há relação dele com este serviço mencionado.
Pode inclusive dar uma lida neste link que menciona um pouco a situação de alguns plugins que de fato usaram o serviço:
Polyfill Vulnerability Effect on the WordPress Ecosystem - Patchstack.
P.S.: Sempre que quiser reportar erros de segurança no Tainacan pode abrir um tópico neste site:
Lá tem gente que acompanha vulnerabilidades, faz testes e alerta a galera caso realmente haja alguma brecha 