Новости Уязвимость в популярном плагине WordPress подвергает кибератакам более 2 млн. сайтов

[NewsMaker]

Ошибка позволяет злоумышленнику за один клик получить полный контроль над сайтом.

---

---

Исследователи безопасности из компании Patchstack , специализирующейся на безопасности платформы WordPress , Для просмотра ссылки Войди или Зарегистрируйся уязвимость в плагине Advanced Custom Fields (ACF) для WordPress, которая позволяет провести XSS -атаку.

XSS-уязвимость Для просмотра ссылки Войди или Зарегистрируйся , связана с отраженным межсайтовым скриптингом (Reflected XSS), который позволяет внедрять произвольные исполняемые скрипты на целевые сайты.

По данным Patchstack, проблема позволяет неаутентифицированному злоумышленнику украсть конфиденциальную информацию и повысить привилегии на сайте WordPress, обманом заставив привилегированного пользователя посетить созданный URL-адрес.

Стоит отметить, что CVE-2023-30777 можно активировать при стандартной установке или настройке Advanced Custom Fields, хотя это возможно только для вошедших в систему пользователей, у которых есть доступ к плагину.

Плагин Advanced Custom Fields установлен Для просмотра ссылки Войди или Зарегистрируйся . Проблема была обнаружена и доведена до сведения сопровождающих 2 мая 2023 года. Пользователям плагина настоятельно рекомендуется обновить версию 6.1.6.

Для просмотра ссылки Войди или Зарегистрируйся обычно происходят, когда жертв обманом заставляют щелкнуть поддельную ссылку, отправленную по электронной почте или другим способом, в результате чего вредоносный код отправляется на уязвимый веб-сайт, что отражает атаку обратно в браузер пользователя.