WordPress插件漏洞使“200万个网站”面临网络攻击的风险

据报道，由于 WordPress 的“高级自定义字段”插件中的一个漏洞导致超过200万用户面临网络攻击的风险。

据theregister报道，Patchstack 研究员 Rafie Muhammad 警告称， Advanced Custom Fields 和 Advanced Custom Fields Pro 版本的活跃安装量超过200万，这些插件用于让网站运营商更好地控制他们的内容和数据，例如编辑屏幕和自定义字段数据。

Patchstack 研究员 Rafie Muhammad于2月5日发现了该漏洞，并将其报告给 Advanced Custom Fields 的供应商 Delicious Brains，该公司去年从开发商 Elliot Condon 手中接管了该软件。

Delicious Brains 发布插件补丁版本一个月后，Patchstack 于5月5日发布了该漏洞的详细信息。建议用户至少将插件更新到6.1.6版本。

该漏洞被追踪为CVE-2023-30777CVSS ，严重性评分为6.1（满分10），使网站容易受到反射 XSS 攻击，这些攻击涉及不法分子将恶意代码注入网页。然后，代码会“反射”回来并在访问者的浏览器中执行。

也就是漏洞允许某人在另一个人的页面视图中运行 JavaScript，从而允许攻击者执行诸如从页面窃取信息、以用户身份执行操作等操作。如果访问者是登录的管理用户，那将是一个大问题，因为他们的帐户可能会被劫持，导致网站被不法分子操控。

Patchstack在其报告中写道:“这个漏洞允许任何未经认证的用户[窃取]敏感信息，在这种情况下，通过欺骗特权用户访问精心制作的URL路径，在WordPress网站上提升特权。”该机构补充道，“该漏洞可能会在高级自定义字段插件的默认安装或配置中触发。XSS也只能由有权访问高级自定义字段插件的登录用户触发。”