Questa falla nella sicurezza del plugin WordPress potrebbe mettere a rischio milioni di siti web: scopri se sei interessato
Un plugin popolare per WordPress costruttore di siti web con oltre due milioni di installazioni attive presentava una grave falla che consentiva agli autori delle minacce di rubare dati sensibili dai visitatori e, in alcuni casi, di assumere completamente il controllo del sito web.
Il plug-in si chiama Advanced Custom Fields che, insieme alla versione Pro, offre agli amministratori del sito Web un maggiore controllo sui contenuti e sui dati del sito Web.
Tuttavia, il plug-in era vulnerabile a un attacco di cross-site scripting (XSS), che consente agli aggressori di iniettare codice dannoso in siti Web vulnerabili. Il codice viene quindi eseguito nel browser del visitatore, consentendo agli aggressori di impossessarsi di dati sensibili. Se uno dei visitatori risulta essere anche l’amministratore del sito, l’aggressore può impossessarsi anche dei suoi dati e, infine, impossessarsi completamente del sito web.
Correggere il difetto
La vulnerabilità è stata scoperta per la prima volta nel maggio 2023 dal ricercatore di Patchstack Rafie Muhammad e segnalata al fornitore del plugin, Delicious Brains.
È stato assegnato un numero di tracciamento CVE-2023-30777 e la gravità è stata valutata 6,1/10. Due mesi dopo, all’inizio di aprile, Delicious Brains ha rilasciato una patch che risolveva il difetto, portando il plugin alla versione 6.1.6. Gli amministratori preoccupati per gli attacchi di cross-site scripting dovrebbero assicurarsi che il loro plugin venga aggiornato a questa versione il prima possibile.
“Questa vulnerabilità consente a qualsiasi utente non autenticato [to steal] informazioni sensibili per, in questo caso, privilegiare l’escalation sul sito WordPress inducendo l’utente privilegiato a visitare il percorso URL predisposto,” afferma Patchstack. “Questa vulnerabilità potrebbe essere attivata su un’installazione o configurazione predefinita del plugin Advanced Custom Fields. Inoltre, l’XSS può essere attivato solo da utenti registrati che hanno accesso al plugin Advanced Custom Fields”, hanno concluso i ricercatori.
Come da Il registroil difetto è relativamente semplice ed è uno dei quattro riscontrati in questo plugin negli ultimi due anni.
Attraverso: Il registro