Um novo bug do WordPress pode ter deixado 2 milhões de sites vulneráveis

Uma falha em dois plug-ins personalizados do WordPress deixa os usuários vulneráveis ​​a ataques de script entre sites (XSS), de acordo com um relatório recente.

O pesquisador de patchstack Rafie Muhammad descobriu recentemente uma falha XSS nos plug-ins Advanced Custom Fields e Advanced Custom Fields Pro , que são instalados ativamente por mais de 2 milhões de usuários em todo o mundo, de acordo com a Bleeping Computer .

A falha, chamada CVE-2023-30777, foi descoberta em 2 de maio e recebeu destaque de alta gravidade. O desenvolvedor dos plug-ins, WP Engine, forneceu rapidamente uma atualização de segurança, versão 6.1.6, poucos dias após saber da vulnerabilidade, em 4 de maio.

Os populares criadores de campos personalizados permitem que os usuários tenham controle total de seu sistema de gerenciamento de conteúdo no back-end, com telas de edição do WordPress, dados de campos personalizados e outros recursos.

No entanto, os bugs XSS podem ser vistos de forma frontal e funcionam injetando “scripts maliciosos em sites visualizados por outras pessoas, resultando na execução de código no navegador do visitante”, acrescentou a Bleeping Computer.

Isso pode deixar os visitantes do site propensos a ter seus dados roubados de sites WordPress infectados, observou Patchstack.

Detalhes sobre a vulnerabilidade XSS indicam que ela pode ser acionada por uma “instalação ou configuração padrão do plug-in Advanced Custom Fields”. No entanto, os usuários teriam que ter acesso logado ao plug-in Advanced Custom Fields para acioná-lo em primeiro lugar, o que significa que um mau ator teria que enganar alguém com acesso para acionar a falha, acrescentaram os pesquisadores.

A falha CVE-2023-30777 pode ser encontrada no manipulador de função admin_body_class , no qual um agente mal-intencionado pode injetar código malicioso. Em particular, esse bug injeta cargas úteis DOM XSS no código elaborado incorretamente, que não é detectado pela saída de sanitização do código, uma espécie de medida de segurança, que faz parte da falha.

A correção na versão 6.1.6 introduziu o hook admin_body_class, que bloqueia a execução do ataque XSS.

Os usuários de Advanced Custom Fields e Advanced Custom Fields Pro devem atualizar os plug-ins para a versão 6.1.6 ou posterior. Muitos usuários permanecem suscetíveis a ataques, com aproximadamente 72,1% dos usuários de plug-in do WordPress.org com versões abaixo de 6.1. Isso torna seus sites vulneráveis ​​não apenas a ataques XSS, mas também a outras falhas, disse a publicação.