Il plugin WordPress Advanced Custom Fields (ACF) con oltre 2 milioni di installazioni ha annunciato il rilascio di un aggiornamento di sicurezza, versione 6.2.5, che corregge una vulnerabilità, la cui gravità non è nota e sono stati rilasciati solo dettagli limitati sulla vulnerabilità.
Sebbene non sia noto quale tipo di exploit siano possibili o l'entità del danno che un utente malintenzionato potrebbe causare, ACF ha informato che la vulnerabilità richiede un accesso a livello di collaboratore o superiore, il che in una certa misura rende più difficile lanciare un attacco.
ACF 6.2.5 potrebbe introdurre modifiche sostanziali
L'annuncio del rilascio di sicurezza avvertiva che le modifiche introdotte dalla patch di aggiornamento potevano potenzialmente causare l'interruzione dei siti Web e offriva istruzioni su come eseguire il debug delle modifiche.
L'aggiornamento alla versione 6.2.5 introduce un cambiamento significativo nel modo in cui lo shortcode ACF elabora e restituisce contenuti HTML potenzialmente non sicuri. L'output verrà ora sottoposto a escape, un processo di sicurezza che in genere rimuove l'HTML indesiderato come script dannosi o HTML non valido in modo che l'HTML visualizzato sia sicuro.
Tuttavia, questa modifica, pur migliorando la sicurezza, potrebbe interrompere i siti che utilizzano lo shortcode per il rendering di elementi HTML complessi come script o iframe.
Tag con un potenziale di uso improprio, come ad esempio