Se insta a los usuarios del complemento Advanced Custom Fields para WordPress a actualizar la versi\u00f3n 6.1.6 luego del descubrimiento de una falla de seguridad.<\/p>\n
El problema, al que se le asign\u00f3 el identificador CVE-2023-30777, se relaciona con un caso de cross-site scripting (XSS) reflejado que podr\u00eda abusarse para inyectar scripts ejecutables arbitrarios en sitios web que de otro modo ser\u00edan benignos.<\/p>\n
El complemento, que est\u00e1 disponible tanto en versi\u00f3n gratuita como profesional, tiene m\u00e1s de dos millones de instalaciones activas<\/a>. El problema se descubri\u00f3 y se inform\u00f3 a los mantenedores el 2 de mayo de 2023.<\/p>\n “Esta vulnerabilidad permite que cualquier usuario no autenticado robe informaci\u00f3n confidencial para, en este caso, escalar privilegios en el sitio de WordPress al enga\u00f1ar a un usuario privilegiado para que visite la ruta de URL manipulada”, dijo Rafie Muhammad, investigador de Patchstack. dicho<\/a>.<\/p>\n XSS reflejado<\/a> Los ataques generalmente ocurren cuando se enga\u00f1a a las v\u00edctimas para que hagan clic en un enlace falso enviado por correo electr\u00f3nico u otra ruta, lo que hace que el c\u00f3digo malicioso se env\u00ede al sitio web vulnerable, lo que refleja el ataque en el navegador del usuario.<\/p>\n Este elemento de ingenier\u00eda social significa que el XSS reflejado no tiene el mismo alcance y escala que los ataques XSS almacenados, lo que lleva a los actores de amenazas a distribuir el enlace malicioso a tantas v\u00edctimas como sea posible.<\/p>\n “[A reflected XSS attack] suele ser el resultado de solicitudes entrantes que no se desinfectan lo suficiente, lo que permite la manipulaci\u00f3n de las funciones de una aplicaci\u00f3n web y la activaci\u00f3n de scripts maliciosos”, dijo Imperva notas<\/a>.<\/p>\n Vale la pena se\u00f1alar que CVE-2023-30777 se puede activar en una instalaci\u00f3n o configuraci\u00f3n predeterminada de Campos personalizados avanzados, aunque solo es posible hacerlo desde usuarios registrados que tienen acceso al complemento.<\/p>\n El desarrollo se produce cuando Craft CMS parch\u00f3 dos fallas XSS de gravedad media (CVE-2023-30177<\/a> y CVE-2023-31144<\/a>) que podr\u00eda ser explotado por un actor de amenazas para servir cargas maliciosas.<\/p>\n Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n \u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n Guardar mi asiento!<\/a><\/div>\n Tambi\u00e9n sigue la divulgaci\u00f3n de otra falla XSS en el producto cPanel (CVE-2023-29489<\/a>puntaje CVSS: 6.1) que podr\u00eda explotarse sin ninguna autenticaci\u00f3n para ejecutar JavaScript arbitrario.<\/p>\n “Un atacante no solo puede atacar los puertos de administraci\u00f3n de cPanel, sino tambi\u00e9n las aplicaciones que se ejecutan en los puertos 80 y 443”, Shubham Shah de Assetnote dicho<\/a>agregarlo podr\u00eda permitir que un adversario secuestre la sesi\u00f3n de cPanel de un usuario v\u00e1lido.<\/p>\n “Una vez que act\u00faa en nombre de un usuario autenticado de cPanel, generalmente es trivial cargar un shell web y obtener la ejecuci\u00f3n del comando”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1682938927_691_El-actor-de-amenazas-vietnamita-infecta-500000-dispositivos-usando-tacticas.png\")
<\/a><\/center><\/div>\n![\"Complemento](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/Nueva-vulnerabilidad-en-popular-complemento-de-WordPress-expone-mas-de.png\" "\\"Complemento")
<\/div>\n