Новая ошибка WordPress могла сделать уязвимыми 2 миллиона сайтов
Согласно недавнему отчету, недостаток в двух пользовательских плагинах WordPress делает пользователей уязвимыми для атак с использованием межсайтовых сценариев (XSS).
Исследователь Patchstack Рафи Мухаммед недавно обнаружил уязвимость XSS в плагинах Advanced Custom Fields и Advanced Custom Fields Pro , которые, по данным Bleeping Computer , активно устанавливают более 2 миллионов пользователей по всему миру.
Уязвимость под названием CVE-2023-30777 была обнаружена 2 мая и получила высокую степень серьезности. Разработчик плагинов, WP Engine, быстро предоставил обновление безопасности версии 6.1.6 в течение нескольких дней после того, как стало известно об уязвимости, 4 мая.
Популярные конструкторы настраиваемых полей позволяют пользователям полностью контролировать свою систему управления контентом из серверной части с помощью экранов редактирования WordPress, данных настраиваемых полей и других функций.
Тем не менее, XSS-ошибки могут быть обнаружены на виду и работают путем внедрения «вредоносных скриптов на веб-сайты, просматриваемые другими, что приводит к выполнению кода в веб-браузере посетителя», — добавил Bleeping Computer.
Patchstack отмечает, что это может сделать посетителей веб-сайтов уязвимыми для кражи их данных с зараженных сайтов WordPress.
Особенности уязвимости XSS указывают на то, что она может быть вызвана «установкой по умолчанию или настройкой подключаемого модуля Advanced Custom Fields». Тем не менее, пользователи должны иметь доступ к подключаемому модулю Advanced Custom Fields, чтобы активировать его в первую очередь, а это означает, что злоумышленник должен будет обмануть кого-то, у кого есть доступ, чтобы вызвать уязвимость, добавили исследователи.
Уязвимость CVE-2023-30777 можно найти в обработчике функции admin_body_class , в котором злоумышленник может внедрить вредоносный код. В частности, эта ошибка внедряет полезные данные DOM XSS в неправильно составленный код, который не обнаруживается выходными данными очистки кода, своего рода мерой безопасности, которая является частью недостатка.
Исправление в версии 6.1.6 представило хук admin_body_class, который блокирует возможность выполнения атаки XSS.
Пользователям расширенных настраиваемых полей и расширенных настраиваемых полей Pro следует обновить подключаемые модули до версии 6.1.6 или более поздней. Многие пользователи по-прежнему уязвимы для атак: примерно 72,1% пользователей плагинов WordPress.org имеют версии ниже 6.1. Это делает их веб-сайты уязвимыми не только для XSS-атак, но и для других недостатков в дикой природе, говорится в публикации.