Los ciberdelincuentes han sido detectados abusando de una vulnerabilidad conocida de alta gravedad en un complemento popular de WordPress, solo un día después de que se publicara un exploit de prueba de concepto (PoC).
Los investigadores de ciberseguridad de PatchStack descubrieron una vulnerabilidad de script entre sitios (XSS) en Advanced Custom Fields, un complemento popular para el creador de sitios web de WordPress (se abre en una pestaña nueva)con más de dos millones de instalaciones activas.
La falla, rastreada como CVE-2023-30777, permitió a los actores de amenazas robar datos confidenciales de los visitantes y, en algunos casos, apoderarse del sitio web por completo.
Ladrones de rápido movimiento
PatchStack descubrió la vulnerabilidad el 2 de mayo y publicó un informe el 5 de mayo junto con el PoC. Mientras tanto, Delicious Brains, los operadores del complemento, lanzaron una actualización de seguridad, llevando el complemento a la versión 6.1.6.
Ahora, los delincuentes apuestan a que la mayoría de los administradores de sitios web aún no han actualizado su propiedad virtual, lo que haría que su sitio web fuera vulnerable a esta falla 6.1/10.
«Akamai SIG analizó los datos del ataque XSS e identificó los ataques que comenzaron dentro de las 24 horas posteriores a la publicación del PoC del exploit», afirma el informe de la compañía. «Lo que es particularmente interesante de esto es la consulta en sí misma: el actor de amenazas copió y usó el código de muestra de Patchstack del artículo».
Las estadísticas oficiales de WordPress.org indican que menos de un tercio de todos los usuarios (31,7 %) actualizaron el complemento a la versión 6.1. versión, lo que significa que los piratas informáticos tienen bastantes sitios web para atacar. El informe de BleepingComputer afirma que al menos 1,4 millones de sitios siguen siendo vulnerables a esta falla XSS.
«Esta vulnerabilidad permite que cualquier usuario no autenticado [to steal] información confidencial para, en este caso, la escalada de privilegios en el sitio de WordPress al engañar al usuario privilegiado para que visite la ruta de URL manipulada”, dijo Patchstack. “Esta vulnerabilidad podría activarse en una instalación o configuración predeterminada del complemento Advanced Custom Fields. El XSS también solo podría activarse desde usuarios registrados que tienen acceso al complemento Advanced Custom Fields», concluyeron los investigadores.
Esta es la cuarta vulnerabilidad importante que se encuentra en este complemento en los últimos años.
Vía: BleepingComputer (se abre en una pestaña nueva)