Una vulnerabilità nel plugin “Advanced Custom Fields” per WordPress è mettendo più di due milioni di utenti a rischio di attacchi informaticiavverte il ricercatore di Patchstack Rafie Muhammad. Il Registro riporta: UN avvertimento da Patchstack riguardo al difetto affermato ci sono più di due milioni di installazioni attive delle versioni Advanced Custom Fields e Advanced Custom Fields Pro dei plugin, che vengono utilizzate per dare agli operatori del sito un maggiore controllo sui loro contenuti e dati, come schermate di modifica e personalizzazioni campo dati. Il ricercatore di Patchstack Rafie Muhammad scoperto ha rilevato la vulnerabilità il 5 febbraio e l’ha segnalata al fornitore Delicious Brains di Advanced Custom Fields, che l’anno scorso ha rilevato il software dallo sviluppatore Elliot Condon. Il 5 maggio, un mese dopo il rilascio di una versione corretta dei plugin da parte di Delicious Brains, Patchstack ha pubblicato i dettagli del difetto. Si consiglia agli utenti di aggiornare il proprio plugin almeno alla versione 6.1.6.
Il difetto, tracciato come CVE-2023-30777 e con un punteggio CVSS di 6,1 su 10 in termini di gravità, lascia i siti vulnerabili agli attacchi XSS riflessi, che coinvolgono malintenzionati che inseriscono codice dannoso nelle pagine web. Il codice viene quindi “riflesso” ed eseguito all’interno del browser di un visitatore. In sostanza, consente a qualcuno di eseguire JavaScript all’interno della visualizzazione di una pagina da parte di un’altra persona, consentendo all’aggressore di fare cose come rubare informazioni dalla pagina, eseguire azioni come utente e così via. Questo è un grosso problema se il visitatore è un utente amministrativo che ha effettuato l’accesso, poiché il suo account potrebbe essere violato per assumere il controllo del sito web.
“Questa vulnerabilità consente a qualsiasi utente non autenticato [to steal] informazioni sensibili per, in questo caso, privilegiare l’escalation sul sito WordPress inducendo l’utente privilegiato a visitare il percorso URL predisposto,” ha scritto Patchstack nel suo rapporto. L’outfit ha aggiunto che “questa vulnerabilità potrebbe essere attivata su un’installazione o configurazione predefinita di Plug-in avanzato per campi personalizzati. Inoltre, l’XSS può essere attivato solo dagli utenti registrati che hanno accesso al plug-in Advanced Custom Fields.”