Hackers estão explorando ativamente uma vulnerabilidade recentemente corrigida no plugin WordPress Advanced Custom Fields, aproximadamente 24 horas após a divulgação de um exploit de prova de conceito (PoC).
A vulnerabilidade em questão é a
CVE-2023-30777
, uma falha de cross-site scripting (XSS) refletida de alta gravidade que permite que invasores não autenticados roubem informações sensíveis e aumentem seus privilégios em sites WordPress afetados.
A falha foi descoberta pela empresa de segurança de sites Patchstack em 2 de maio de 2023 e foi divulgada juntamente com um exploit de prova de conceito em 5 de maio, um dia depois que o fornecedor do plugin havia lançado uma atualização de segurança com a versão 6.1.6.
Conforme relatado ontem pelo Akamai Security Intelligence Group (SIG), a partir de 6 de maio de 2023, eles observaram uma atividade significativa de varredura e exploração usando o código de amostra fornecido na descrição do Patchstack.
Considerando que mais de 1,4 milhão de sites que usam o plugin WordPress afetado não atualizaram para a versão mais recente, com base nas estatísticas do Wordpress.org, os invasores têm uma grande superfície de ataque para explorar.
A falha XSS requer o envolvimento de um usuário logado que tenha acesso ao plugin para executar código malicioso em seu navegador que dará aos invasores acesso com privilégios elevados ao site.
As varreduras maliciosas indicam que esse fator de mitigação não desanima os invasores que confiam que podem superá-lo por meio de truques básicos e engenharia social.
Além disso, o exploit funciona nas configurações padrão das versões de plugin afetadas, o que aumenta as chances de sucesso para os invasores sem exigir esforço extra.
Administradores de sites WordPress que usam os plugins vulneráveis são instados a aplicar imediatamente o patch disponível para se proteger da atividade contínua de varredura e exploração.
A ação recomendada é atualizar os plugins Advanced Custom Fields gratuitos e pro para a versão 5.12.6 (backported) e 6.1.6.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...