Pesquisadores de segurança alertam que os plugins do WordPress 'Advanced Custom Fields' e 'Advanced Custom Fields Pro', com milhões de instalações, estão vulneráveis a ataques de cross-site scripting (XSS).
Os dois plugins estão entre os mais populares construtores de campos personalizados do WordPress, com 2.000.000 de instalações ativas em sites em todo o mundo.
O pesquisador da Patchstack, Rafie Muhammad, descobriu a vulnerabilidade de XSS refletido de alta gravidade em 2 de maio de 2023, que recebeu o identificador
CVE-2023-30777
.
Bugs de XSS geralmente permitem que os invasores injetem scripts maliciosos em sites visualizados por outros, resultando na execução de código no navegador da web do visitante.
A Patchstack diz que a falha de XSS poderia permitir que um invasor não autenticado roube informações confidenciais e aumente seus privilégios em um site do WordPress afetado.
"Observe que essa vulnerabilidade poderia ser acionada em uma instalação ou configuração padrão do plugin Advanced Custom Fields", explica a Patchstack no boletim.
"O XSS também só poderia ser acionado por usuários logados que têm acesso ao plugin Advanced Custom Fields."
Isso significa que o invasor não autenticado ainda teria que manipular alguém com acesso ao plugin para visitar uma URL maliciosa para acionar a falha.
O desenvolvedor do plugin foi notificado do problema após a descoberta da Patchstack e lançou uma atualização de segurança em 4 de maio de 2023, na versão 6.1.6.
A falha
CVE-2023-30777
surge do manipulador da função 'admin_body_class', que não sanitizou corretamente o valor de saída de um gancho que controla e filtra as classes CSS (design e layout) para a tag body principal na área de administração de sites do WordPress.
Um invasor pode alavancar uma concatenação de código direto inseguro no código do plugin, especificamente a variável '$this→view', para adicionar código malicioso (payloads de XSS DOM) em seus componentes que passarão para o produto final, uma string de classe.
A função de limpeza usada pelo plugin, 'sanitize_text_field', não impedirá o ataque porque não detectará a injeção de código malicioso.
O desenvolvedor corrigiu a falha na versão 6.1.6 implementando uma nova função chamada 'esc_attr' que sanitiza corretamente o valor de saída do gancho admin_body_class, evitando assim o XSS.
Todos os usuários do 'Advanced Custom Fields' e do 'Advanced Custom Fields Pro' são aconselhados a atualizar para a versão 6.1.6 ou posterior o mais rápido possível.
Com base nas estatísticas de download do WordPress.org, 72,1% dos usuários do plugin ainda estão usando versões abaixo de 6.1, que são vulneráveis a XSS e outras falhas conhecidas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...