Plugin de campo personalizado do WordPress expõe mais de 1 milhão de sites a ataques XSS
8 de Maio de 2023

Pesquisadores de segurança alertam que os plugins do WordPress 'Advanced Custom Fields' e 'Advanced Custom Fields Pro', com milhões de instalações, estão vulneráveis a ataques de cross-site scripting (XSS).

Os dois plugins estão entre os mais populares construtores de campos personalizados do WordPress, com 2.000.000 de instalações ativas em sites em todo o mundo.

O pesquisador da Patchstack, Rafie Muhammad, descobriu a vulnerabilidade de XSS refletido de alta gravidade em 2 de maio de 2023, que recebeu o identificador CVE-2023-30777 .

Bugs de XSS geralmente permitem que os invasores injetem scripts maliciosos em sites visualizados por outros, resultando na execução de código no navegador da web do visitante.

A Patchstack diz que a falha de XSS poderia permitir que um invasor não autenticado roube informações confidenciais e aumente seus privilégios em um site do WordPress afetado.

"Observe que essa vulnerabilidade poderia ser acionada em uma instalação ou configuração padrão do plugin Advanced Custom Fields", explica a Patchstack no boletim.

"O XSS também só poderia ser acionado por usuários logados que têm acesso ao plugin Advanced Custom Fields."

Isso significa que o invasor não autenticado ainda teria que manipular alguém com acesso ao plugin para visitar uma URL maliciosa para acionar a falha.

O desenvolvedor do plugin foi notificado do problema após a descoberta da Patchstack e lançou uma atualização de segurança em 4 de maio de 2023, na versão 6.1.6.

A falha CVE-2023-30777 surge do manipulador da função 'admin_body_class', que não sanitizou corretamente o valor de saída de um gancho que controla e filtra as classes CSS (design e layout) para a tag body principal na área de administração de sites do WordPress.

Um invasor pode alavancar uma concatenação de código direto inseguro no código do plugin, especificamente a variável '$this→view', para adicionar código malicioso (payloads de XSS DOM) em seus componentes que passarão para o produto final, uma string de classe.

A função de limpeza usada pelo plugin, 'sanitize_text_field', não impedirá o ataque porque não detectará a injeção de código malicioso.

O desenvolvedor corrigiu a falha na versão 6.1.6 implementando uma nova função chamada 'esc_attr' que sanitiza corretamente o valor de saída do gancho admin_body_class, evitando assim o XSS.

Todos os usuários do 'Advanced Custom Fields' e do 'Advanced Custom Fields Pro' são aconselhados a atualizar para a versão 6.1.6 ou posterior o mais rápido possível.

Com base nas estatísticas de download do WordPress.org, 72,1% dos usuários do plugin ainda estão usando versões abaixo de 6.1, que são vulneráveis a XSS e outras falhas conhecidas.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...