Уязвимость в популярном плагине WordPress подвергает кибератакам более 2 млн. сайтов

Исследователи безопасности из компании Patchstack, специализирующейся на безопасности платформы WordPress, обнаружили уязвимость в плагине Advanced Custom Fields (ACF) для WordPress, которая позволяет провести XSS-атаку.

XSS-уязвимость CVE-2023-30777 , связана с отраженным межсайтовым скриптингом (Reflected XSS), который позволяет внедрять произвольные исполняемые скрипты на целевые сайты.

По данным Patchstack, проблема позволяет неаутентифицированному злоумышленнику украсть конфиденциальную информацию и повысить привилегии на сайте WordPress, обманом заставив привилегированного пользователя посетить созданный URL-адрес.

Стоит отметить, что CVE-2023-30777 можно активировать при стандартной установке или настройке Advanced Custom Fields, хотя это возможно только для вошедших в систему пользователей, у которых есть доступ к плагину.

Плагин Advanced Custom Fields установлен более 2 млн. раз . Проблема была обнаружена и доведена до сведения сопровождающих 2 мая 2023 года. Пользователям плагина настоятельно рекомендуется обновить версию 6.1.6.

Отраженные XSS-атаки обычно происходят, когда жертв обманом заставляют щелкнуть поддельную ссылку, отправленную по электронной почте или другим способом, в результате чего вредоносный код отправляется на уязвимый веб-сайт, что отражает атаку обратно в браузер пользователя.