Se insta a los usuarios del complemento Advanced Custom Fields para WordPress a actualizar la versión 6.1.6 luego del descubrimiento de una falla de seguridad.
El problema, al que se le asignó el identificador CVE-2023-30777, se relaciona con un caso de cross-site scripting (XSS) reflejado que podría abusarse para inyectar scripts ejecutables arbitrarios en sitios web que de otro modo serían benignos.
El complemento, que está disponible tanto en versión gratuita como profesional, tiene más de dos millones de instalaciones activas. El problema se descubrió y se informó a los mantenedores el 2 de mayo de 2023.
«Esta vulnerabilidad permite que cualquier usuario no autenticado robe información confidencial para, en este caso, escalar privilegios en el sitio de WordPress al engañar a un usuario privilegiado para que visite la ruta de URL manipulada», dijo Rafie Muhammad, investigador de Patchstack. dicho.
XSS reflejado Los ataques generalmente ocurren cuando se engaña a las víctimas para que hagan clic en un enlace falso enviado por correo electrónico u otra ruta, lo que hace que el código malicioso se envíe al sitio web vulnerable, lo que refleja el ataque en el navegador del usuario.
Este elemento de ingeniería social significa que el XSS reflejado no tiene el mismo alcance y escala que los ataques XSS almacenados, lo que lleva a los actores de amenazas a distribuir el enlace malicioso a tantas víctimas como sea posible.
«[A reflected XSS attack] suele ser el resultado de solicitudes entrantes que no se desinfectan lo suficiente, lo que permite la manipulación de las funciones de una aplicación web y la activación de scripts maliciosos», dijo Imperva notas.
Vale la pena señalar que CVE-2023-30777 se puede activar en una instalación o configuración predeterminada de Campos personalizados avanzados, aunque solo es posible hacerlo desde usuarios registrados que tienen acceso al complemento.
El desarrollo se produce cuando Craft CMS parchó dos fallas XSS de gravedad media (CVE-2023-30177 y CVE-2023-31144) que podría ser explotado por un actor de amenazas para servir cargas maliciosas.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
También sigue la divulgación de otra falla XSS en el producto cPanel (CVE-2023-29489puntaje CVSS: 6.1) que podría explotarse sin ninguna autenticación para ejecutar JavaScript arbitrario.
«Un atacante no solo puede atacar los puertos de administración de cPanel, sino también las aplicaciones que se ejecutan en los puertos 80 y 443», Shubham Shah de Assetnote dichoagregarlo podría permitir que un adversario secuestre la sesión de cPanel de un usuario válido.
«Una vez que actúa en nombre de un usuario autenticado de cPanel, generalmente es trivial cargar un shell web y obtener la ejecución del comando».