Una falla en dos complementos personalizados de WordPress deja a los s vulnerables a ataques de secuencias de comandos entre sitios (XSS), según un informe reciente.
Investigador de Patchstack Rafie Muhammad descubrió recientemente una falla XSS en los complementos Advanced Custom Fields y Advanced Custom Fields Pro, que son instalados activamente por más de 2 millones de s en todo el mundo, según Bleeping Computer.
La falla, llamada CVE-2023-30777 fue descubierta el 2 de mayo y se le dio una prominencia de alta gravedad. El desarrollador de los complementos, WP Engine, proporcionó rápidamente una actualización de seguridad, la versión 6.1.6, a los pocos días de enterarse de la vulnerabilidad, el 4 de mayo.
Los populares creadores de campos personalizados permiten a los s tener un control total de su sistema de gestión de contenido desde el back-end, con pantallas de edición de WordPress, datos de campo personalizados y otras características.
Sin embargo, los errores XSS se pueden ver de manera frontal y funcionan inyectando «scripts maliciosos en sitios web vistos por otros, lo que resulta en la ejecución de código en el navegador web del visitante», agregó Bleeping Computer.
Esto podría dejar a los visitantes del sitio web abiertos a que sus datos sean robados de los sitios infectados de WordPress, señaló Patchstack.
Los detalles sobre la vulnerabilidad XSS indican que podría desencadenarse por una «instalación o configuración predeterminada del complemento Advanced Custom Fields». Sin embargo, los s tendrían que tener de inicio de sesión al complemento Advanced Custom Fields para activarlo en primer lugar, lo que significa que un mal actor tendría que engañar a alguien con para desencadenar la falla, agregaron los investigadores.
La falla CVE-2023-30777 se puede encontrar en el controlador de funciones _body_class, en el que un mal actor puede inyectar código malicioso. En particular, este error inyecta cargas útiles DOM XSS en el código redactado incorrectamente, que no es capturado por la salida de saneamiento del código, una especie de medida de seguridad, que es parte de la falla.
La corrección en la versión 6.1.6 introdujo el gancho _body_class, que bloquea la ejecución del ataque XSS.
Los s de Advanced Custom Fields y Advanced Custom Fields Pro deben actualizar los plug-ins a la versión 6.1.6 o posterior. Muchos s siguen siendo susceptibles a los ataques, con aproximadamente el 72,1% de WordPress.org s de plug-ins que tienen versiones inferiores a 6.1. Esto hace que sus sitios web sean vulnerables no solo a los ataques XSS sino también a otras fallas en la naturaleza, dijo la publicación.
