Uma falha em dois WordPress plug-ins personalizados deixam os usuários vulneráveis a ataques de script entre sites (XSS), de acordo com um relatório recente.
pesquisador de patchstack Rafie Muhammad descobriu recentemente uma falha XSS no Campos personalizados avançados e Campos Personalizados Avançados Pro plug-ins, que são instalados ativamente por mais de 2 milhões de usuários em todo o mundo, de acordo com Computador apitando.
Vídeos recomendados
A falha, chamada CVE-2023-30777, foi descoberta em 2 de maio e recebeu destaque de alta gravidade. O desenvolvedor dos plug-ins, WP Engine, forneceu rapidamente uma atualização de segurança, versão 6.1.6, poucos dias após saber da vulnerabilidade, em 4 de maio.
Relacionado
- Esta vulnerabilidade do Twitter pode ter revelado proprietários de contas de gravadores
- Tumblr promete corrigir um bug que deixava os dados do usuário expostos
O popular construtores de campos personalizados permitem que os usuários tenham controle total de seu sistema de gerenciamento de conteúdo no back-end, com telas de edição do WordPress, dados de campo personalizados e outros recursos.
No entanto, os bugs XSS podem ser vistos de forma frontal e funcionam injetando “scripts maliciosos em sites visualizados por outros, resultando na execução de código no navegador do visitante”, Bleeping Computador adicionado.
Isso pode deixar os visitantes do site propensos a ter seus dados roubados de sites WordPress infectados, observou Patchstack.
Detalhes sobre a vulnerabilidade XSS indicam que ela pode ser acionada por uma “instalação ou configuração padrão do plug-in Advanced Custom Fields”. No entanto, os usuários teriam que ter acesso logado ao plug-in Advanced Custom Fields para acioná-lo em primeiro lugar, o que significa que um mau ator teria que enganar alguém com acesso para acionar a falha, acrescentaram os pesquisadores.
A falha CVE-2023-30777 pode ser encontrada no admin_body_class manipulador de função, no qual um agente mal-intencionado pode injetar código malicioso. Em particular, esse bug injeta cargas DOM XSS no código elaborado incorretamente, que não é detectado pela saída de sanitização do código, uma espécie de medida de segurança, que faz parte da falha.
A correção na versão 6.1.6 introduziu o gancho admin_body_class, que bloqueia a execução do ataque XSS.
Usuários de Campos personalizados avançados e Campos Personalizados Avançados Pro deve atualizar os plug-ins para a versão 6.1.6 ou posterior. Muitos usuários permanecem suscetíveis a ataques, com aproximadamente 72,1% dos usuários de plug-in do WordPress.org com versões em execução abaixo de 6.1. Isso torna seus sites vulneráveis não apenas a ataques XSS, mas também a outras falhas, disse a publicação disse.
Recomendações dos editores
- Hackers estão usando páginas DDoS falsas do WordPress para lançar malware
- Seu laptop Lenovo pode ter uma falha de segurança grave
Atualize seu estilo de vidaO Digital Trends ajuda os leitores a acompanhar o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais perspicazes e prévias exclusivas.
