W mailu wysyłanym do deweloperów Google poinformowało o wykrytej luce w Google Maps, a właściwie w jednym z jej dodatków TL;DR – Polyfill.io. Rekomendacja to wyłączenie kodu js na stronie.
Możliwe działania niepożądane: Użytkownicy bez ich wiedzy mogą być przekierowywani na inne strony w celu wyłudzenia informacji.
Dodatek TL;DR – Polyfill.io był używany przez deweloperów w celu poprawienia kompatybilności starszych przeglądarek z Google Maps.
Co trzeba zrobić:
1. Upewnij się, że sklep nie korzysta z modułów lub implementacji kodu zawierającego TL;DR – Polyfill.io
2. Jeśli istnieje ten dodatek moduł należy wyłączyć i skontaktować się z jego autorem.
3. Użyj mechanizmu SRI, aby w przyszłości zapobiegać tego typu atakom. Np.
<script src="https://code.jquery.com/jquery-3.6.0.min.js" integrity="sha384-KyZXEAg3QhqLMpG8r+Knujsl5+5hb7O5nj5LE1w7w7Fw5L5fwJFv0htS4TJ5R5B7" crossorigin="anonymous"></script>
Źródło:
https://wpshieldmatrix.com/polyfill-io-security-issue/