Un complemento popular para el creador de sitios web de WordPress (se abre en una pestaña nueva) con más de dos millones de instalaciones activas, presentaba una falla grave que permitía a los actores de amenazas robar datos confidenciales de los visitantes y, en algunos casos, apoderarse del sitio web por completo.
El complemento se llama Campos personalizados avanzados que, junto con su versión Pro, brinda a los administradores de sitios web más control sobre el contenido y los datos del sitio web.
Sin embargo, el complemento era vulnerable a un ataque de secuencias de comandos entre sitios (XSS), que permite a los atacantes inyectar código malicioso en sitios web vulnerables. Luego, el código se ejecuta en el navegador del visitante, lo que permite a los atacantes obtener datos confidenciales. Si uno de los visitantes también resulta ser el administrador del sitio, el atacante también puede obtener sus datos y, en última instancia, hacerse cargo del sitio web por completo.
Parcheando la falla
La vulnerabilidad fue descubierta por primera vez a principios de febrero de 2023 por el investigador de Patchstack, Rafie Muhammad, y se informó al proveedor del complemento, Delicious Brains.
Se le asignó un número de seguimiento de CVE-2023-30777 y se calificó con una gravedad de 6,1/10. Dos meses después, a principios de abril, Delicious Brains publicó un parche que corrigió la falla, lo que también llevó el complemento a la versión 6.1.6. Los administradores preocupados por los ataques de secuencias de comandos entre sitios deben asegurarse de que su complemento se actualice a esta versión lo antes posible.
«Esta vulnerabilidad permite que cualquier usuario no autenticado [to steal] información confidencial para, en este caso, la escalada de privilegios en el sitio de WordPress al engañar al usuario privilegiado para que visite la ruta de la URL diseñada”, dice Patchstack. “Esta vulnerabilidad podría activarse en una instalación o configuración predeterminada del complemento Advanced Custom Fields. El XSS también solo podría activarse desde usuarios registrados que tienen acceso al complemento Advanced Custom Fields», concluyeron los investigadores.
según El registrola falla es relativamente sencilla y es una de las cuatro encontradas en este complemento en los últimos años.
Vía: El Registro (se abre en una pestaña nueva)