Вразливість у популярному плагіні WordPress робить вразливими понад 2 млн. сайтів

Дослідники безпеки з компанії Patchstack, що спеціалізується на безпеці платформи WordPress, виявили вразливість у плагіні Advanced Custom Fields (ACF) для WordPress, яка дає змогу провести XSS-атаку.

XSS-вразливість CVE-2023−30 777, пов’язана з міжсайтовим скриптингом (Reflected XSS), який дає змогу впроваджувати довільні виконувані скрипти на цільові сайти.

За даними Patchstack, проблема дає змогу неаутентифікованому зловмиснику вкрасти конфіденційну інформацію і підвищити привілеї на сайті WordPress, обманом змусивши привілейованого користувача відвідати створену URL-адресу.

Варто зазначити, що CVE-2023−30 777 можна активувати під час стандартного встановлення або налаштування Advanced Custom Fields, хоча це можливо тільки для користувачів, які увійшли в систему і мають доступ до плагіна. Плагін Advanced Custom Fields встановлено на понад 2 млн. сайтів. Проблему було виявлено і доведено до відома команди розробки 2 травня. Користувачам плагіна рекомендується оновити версію 6.1.6.