Власники сайтів на платформі WordPress, де використовується плагін Advanced Custom Fields, мають оновити плагін після виявлення вразливості в коді, яка може відкрити сайти та їхніх відвідувачів для атак міжсайтових скриптів (XSS).
У попередженні від Patchstack про недолік стверджується, що існує понад два мільйони активних установок версій плагінів Advanced Custom Fields і Advanced Custom Fields Pro, які використовуються для надання операторам сайтів більшого контролю над їх вмістом і даними.
Дослідник Patchstack Рафі Мухаммад виявив уразливість 5 лютого та повідомив про це постачальника Advanced Custom Fields, Delicious Brains, який минулого року перебрав програмне забезпечення від розробника Елліота Кондона.
5 травня, через місяць після того, як Delicious Brains випустила виправлену версію плагінів, Patchstack опублікував подробиці недоліку. Рекомендовано користувачам оновити свій плагін принаймні до версії 6.1.6.
Недолік, який відстежується як CVE-2023-30777 і має оцінку серйозності CVSS 6,1 з 10, робить сайти вразливими до атак XSS. Потім код «відбивається» назад і виконується в браузері відвідувача.
По суті, це дозволяє запускати JavaScript у вікні перегляду сторінки іншої особи, дозволяючи зловмиснику робити такі речі, як красти інформацію зі сторінки, виконувати дії від імені користувача тощо. Це велика проблема, якщо той користувачем має права адміністратора, оскільки його обліковий запис може бути зламано, щоб захопити веб-сайт.
Спеціалісти додали, що «ця вразливість може бути запущена під час інсталяції або конфігурації за замовчуванням плагіна Advanced Custom Fields. XSS також може бути запущений лише від зареєстрованих користувачів, які мають доступ до плагіна Advanced Custom Fields».
Недолік відносно простий. Він походить від обробника функції «admin_body_class», який, за словами Patchstack, був налаштований як додатковий обробник для хука WordPress, також названого admin_body_class. Обробник контролює та фільтрує дизайн і макет основного тегу body в області адміністрування.
Обробник функції не очищає належним чином це значення хука, відкриваючи його для зловмисника, який може додати на веб-сайт шкідливий код, зокрема переспрямування, рекламу та інші корисні дані HTML, які потім виконуються, коли особа відвідує сайт.
За даними Patchstack, уразливість XSS була однією з чотирьох, знайдених у популярному плагіні за останні пару років.
За даними W3Techs, WordPress, який цього місяця святкує своє 20-річчя, залишається найпопулярнішою системою керування контентом у світі, якою користуються 43,2% усіх веб-сайтів. Через сотні мільйонів сайтів, які його використовують, WordPress також став популярною мішенню для зловмисників, які хочуть використати будь-які недоліки в системі – ось де гроші.
Згідно з опитуванням Patchstack, у період з 2020 по 2021 рік кількість уразливостей WordPress зросла на 150%, а 29% плагінів із критичними уразливими місцями на той час залишалися невиправленими.
