Uma falha crítica em plugins de campo personalizado do WordPress, ‘Advanced Custom Fields‘ e ‘Advanced Custom Fields Pro‘, afetou mais de 1 milhão de sites, expondo-os a ataques XSS. A vulnerabilidade, identificada como CVE-2023-30777, foi descoberta em 2 de maio de 2023, e já há uma atualização de segurança disponível.
Os ataques XSS (Cross-Site Scripting) ocorrem quando invasores injetam scripts maliciosos em sites visualizados por outros usuários, resultando na execução de código no navegador da web do visitante. Essa vulnerabilidade específica no plugin Advanced Custom Fields pode permitir que um invasor não autenticado roube informações confidenciais e aumente seus privilégios em um site afetado.
Medidas Tomadas pelos Desenvolvedores e Recomendações de Segurança
Após ser notificado do problema pelo pesquisador da Patchstack, Rafie Muhammad, o desenvolvedor do plugin lançou uma atualização de segurança em 4 de maio de 2023, na versão 6.1.6. A nova versão implementa uma função chamada ‘esc_attr’ que evita o XSS ao sanitizar corretamente o valor de saída do gancho admin_body_class. Recomenda-se que todos os usuários dos plugins afetados atualizem com urgência para a nova versão.
Segundo estatísticas do WordPress.org, 72,1% dos usuários do plugin usam versões desatualizadas, abaixo de 6.1, aumentando os riscos de um ataque.
Assine nossa Newsletter para receber os melhores conteúdos do Itshow em sua caixa de entrada.