根据最近的一份报告,两个WordPress自定义插件中的一个缺陷使用户容易受到跨站点脚本攻击 (XSS)。
据Bleeping Computer称, Patchstack 研究员Rafie Muhammad 最近在Advanced Custom Fields和Advanced Custom Fields Pro插件中发现了一个 XSS 漏洞,这些插件在全球范围内被超过 200 万用户积极安装。
这个名为 CVE-2023-30777 的漏洞于 5 月 2 日被发现,并被列为高危级别。插件的开发者 WP Engine 在 5 月 4 日了解到该漏洞后的几天内迅速提供了 6.1.6 版安全更新。
流行的自定义字段构建器允许用户从后端完全控制他们的内容管理系统,具有 WordPress 编辑屏幕、自定义字段数据和其他功能。
然而,XSS 错误可以以正面的方式被发现,并通过“在其他人查看的网站上注入恶意脚本,导致代码在访问者的网络浏览器上执行,”Bleeping Computer 补充道。
Patchstack 指出,这可能会让网站访问者容易从受感染的 WordPress 网站窃取他们的数据。
有关 XSS 漏洞的细节表明它可能是由“高级自定义字段插件的默认安装或配置”触发的。然而,研究人员补充说,用户必须先登录才能访问 Advanced Custom Fields 插件才能触发它,这意味着坏人必须欺骗有权访问的人才能触发该漏洞。
CVE-2023-30777 缺陷可以在admin_body_class函数处理程序中找到,坏人可以在其中注入恶意代码。特别是,这个错误将 DOM XSS 有效负载注入到不正确起草的代码中,代码的清理输出没有捕获到这种代码,这是一种安全措施,是该缺陷的一部分。
6.1.6 版的修复引入了admin_body_class 钩子,它阻止了 XSS 攻击的执行。
Advanced Custom Fields和Advanced Custom Fields Pro的用户请将插件升级到6.1.6或更高版本。许多用户仍然容易受到攻击,大约 72.1% 的 WordPress.org 插件用户的版本低于 6.1。该出版物称,这使得他们的网站不仅容易受到 XSS 攻击,而且还容易受到其他漏洞的攻击。