Se insta a los usuarios del complemento Advanced Custom Fields para WordPress a actualizar la versión 6.1.6 luego del descubrimiento de una falla de seguridad.
El problema, al que se le asignó el identificador CVE-2023-30777, se relaciona con un caso de cross-site scripting (XSS) reflejado que podría abusarse para inyectar scripts ejecutables arbitrarios en sitios web que de otro modo serían benignos.
El complemento, que está disponible tanto en versión gratuita como profesional, tiene más de dos millones de instalaciones activas. El problema se descubrió y se informó a los mantenedores el 2 de mayo de 2023.
Vulnerabilidad en popular complemento de WordPress
«Esta vulnerabilidad permite que cualquier usuario no autenticado robe información confidencial para, en este caso, escalar privilegios en el sitio de WordPress al engañar a un usuario privilegiado para que visite la ruta de URL manipulada», dijo Rafie Muhammad, investigador de Patchstack.
Los ataques XSS reflejados generalmente ocurren cuando se engaña a las víctimas para que hagan clic en un enlace falso enviado por correo electrónico u otra ruta, lo que hace que el código malicioso se envíe al sitio web vulnerable, que refleja el ataque al navegador del usuario.
Este elemento de ingeniería social significa que el XSS reflejado no tiene el mismo alcance y escala que los ataques XSS almacenados, lo que lleva a los actores de amenazas a distribuir el enlace malicioso a tantas víctimas como sea posible.
«[Un ataque XSS reflejado] generalmente es el resultado de solicitudes entrantes que no se desinfectan lo suficiente, lo que permite la manipulación de las funciones de una aplicación web y la activación de scripts maliciosos», señala Imperva.
Vale la pena señalar que CVE-2023-30777 se puede activar en una instalación o configuración predeterminada de Campos personalizados avanzados, aunque solo es posible hacerlo desde usuarios registrados que tienen acceso al complemento.
El desarrollo se produce cuando Craft CMS parchó dos fallas XSS de gravedad media ( CVE-2023-30177 y CVE-2023-31144 ) que podrían ser explotadas por un actor de amenazas para servir cargas maliciosas.
También sigue a la divulgación de otra falla XSS en el producto cPanel ( CVE-2023-29489 , puntaje CVSS: 6.1) que podría explotarse sin ninguna autenticación para ejecutar JavaScript arbitrario.
«Un atacante no solo puede atacar los puertos de administración de cPanel, sino también las aplicaciones que se ejecutan en los puertos 80 y 443», dijo Shubham Shah de Assetnote , y agregó que podría permitir que un adversario secuestre la sesión de cPanel de un usuario válido.
«Una vez que actúa en nombre de un usuario autenticado de cPanel, generalmente es trivial cargar un shell web y obtener la ejecución del comando».
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.