0
0
Vulnerabilidade XSS geralmente permite que invasores injetem scripts maliciosos em sites visualizados por outras pessoas, resultando na execução de código no navegador da web do visitante
Pesquisadores de segurança alertam que os plug-ins do WordPress Advanced Custom Fields e Advanced Custom Fields Pro, com milhões de instalações, são vulneráveis a ataques de script entre sites (XSS). Os dois plug-ins estão entre os criadores de campos personalizados mais populares do WordPress, com 2 milhões de instalações ativas em sites em todo o mundo.
O pesquisador do Patchstack, Rafie Muhammad, descobriu a vulnerabilidade XSS de alta gravidade no dia 2, à qual foi atribuído o identificador CVE-2023-30777.
Os bugs XSS geralmente permitem que invasores injetem scripts maliciosos em sites visualizados por outras pessoas, resultando na execução de código no navegador da web do visitante.
Patchstack diz que a falha XSS pode permitir que um invasor roube informações confidenciais e aumente seus privilégios em um site WordPress afetado. “Observe que essa vulnerabilidade pode ser acionada em uma instalação ou configuração padrão do plug-in Advanced Custom Fields”, explica ele no boletim de segurança. “O XSS também só pode ser acionado por usuários logados que tenham acesso ao plug-in Advanced Custom Fields.”
Em outras palavras, isso significa que o invasor não autenticado ainda teria que fazer a engenharia social de alguém com acesso ao plug-in para visitar uma URL maliciosa para acionar a falha.
O desenvolvedor do plug-in foi notificado sobre o problema após a descoberta do Patchstack e lançou uma atualização de segurança no dia 4 passado, na versão 6.1.6.
A falha CVE-2023-30777 decorre do manipulador de função ‘admin_body_class’, que não conseguiu limpar adequadamente o valor de saída de um “gancho” que controla e filtra as classes CSS (design e layout) para a tag do corpo principal na área de administração de sites do WordPress.
Um invasor pode aproveitar uma concatenação de código direta insegura no código do plug-in, especificamente a variável ‘$this→view’, para adicionar código prejudicial (cargas DOM XSS) em seus componentes que passarão para o produto final, uma string de classe. A função de limpeza usada pelo plug-in, ‘sanitize_text_field’, não interromperá o ataque porque não detectará a injeção de código malicioso.
O desenvolvedor corrigiu a falha na versão 6.1.6 implementando uma nova função chamada ‘esc_attr’ que sanitiza adequadamente o valor de saída do gancho admin_body_class, evitando assim o XSS.
Todos os usuários de Advanced Custom Fields e Advanced Custom Fields Pro são aconselhados a atualizar para a versão 6.1.6 ou posterior o mais rápido possível.Com base nas estatísticas de download do WordPress.org, 72,1% dos usuários do plugin ainda estão usando versões abaixo de 6.1, que são vulneráveis a XSS e outras falhas conhecidas.
FONTE: CISO ADVISOR