Ошибка позволяет злоумышленнику за один клик получить полный контроль над сайтом.
Исследователи безопасности из компании Patchstack, специализирующейся на безопасности платформы WordPress, обнаружили уязвимость в плагине Advanced Custom Fields (ACF) для WordPress, которая позволяет провести XSS-атаку.
XSS-уязвимость CVE-2023-30777 , связана с отраженным межсайтовым скриптингом (Reflected XSS), который позволяет внедрять произвольные исполняемые скрипты на целевые сайты.
По данным Patchstack, проблема позволяет неаутентифицированному злоумышленнику украсть конфиденциальную информацию и повысить привилегии на сайте WordPress, обманом заставив привилегированного пользователя посетить созданный URL-адрес.
Стоит отметить, что CVE-2023-30777 можно активировать при стандартной установке или настройке Advanced Custom Fields, хотя это возможно только для вошедших в систему пользователей, у которых есть доступ к плагину.
Плагин Advanced Custom Fields установлен более 2 млн. раз . Проблема была обнаружена и доведена до сведения сопровождающих 2 мая 2023 года. Пользователям плагина настоятельно рекомендуется обновить версию 6.1.6.
Отраженные XSS-атаки обычно происходят, когда жертв обманом заставляют щелкнуть поддельную ссылку, отправленную по электронной почте или другим способом, в результате чего вредоносный код отправляется на уязвимый веб-сайт, что отражает атаку обратно в браузер пользователя.
Одно найти легче, чем другое. Спойлер: это не темная материя