Gli utenti del plugin Advanced Custom Fields per WordPress sono invitati ad aggiornare alla versione 6.1.6 dopo la scoperta di una falla di sicurezza legata a un caso di cross-site scripting (XSS) riflesso. Questa vulnerabilità potrebbe essere sfruttata per iniettare script eseguibili arbitrari in siti altrimenti innocui.
Dettagli della vulnerabilità
La vulnerabilità, identificata come CVE-2023-30777, riguarda un caso di XSS riflesso che potrebbe essere utilizzato per iniettare script eseguibili arbitrari in siti web altrimenti sicuri. Il plugin, disponibile sia in versione gratuita che pro, conta oltre due milioni di installazioni attive. Il problema è stato scoperto e segnalato ai responsabili il 2 maggio 2023.
Rafie Muhammad, ricercatore di Patchstack, spiega: “Questa vulnerabilità permette a qualsiasi utente non autenticato di rubare informazioni sensibili o, in questo caso, di aumentare i privilegi sul sito WordPress, ingannando un utente privilegiato a visitare il percorso URL creato ad hoc.”
Impatto degli attacchi XSS riflessi
Gli attacchi XSS riflessi si verificano solitamente quando le vittime vengono ingannate a cliccare su un link fasullo inviato tramite email o altri canali, causando l’invio del codice dannoso al sito vulnerabile che, a sua volta, riflette l’attacco al browser dell’utente.
Questo elemento di ingegneria sociale significa che gli attacchi XSS riflessi non hanno la stessa portata e scala degli attacchi XSS memorizzati, spingendo gli attori delle minacce a distribuire il link dannoso a quante più vittime possibili.
Aggiornamenti e altre vulnerabilità correlate
Vale la pena notare che la CVE-2023-30777 può essere attivata su un’installazione o configurazione predefinita di Advanced Custom Fields, anche se è possibile farlo solo da utenti autenticati che hanno accesso al plugin.
Questo avvenimento segue la correzione di due vulnerabilità XSS di gravità media nel CMS Craft (CVE-2023-30177 e CVE-2023-31144) che potrebbero essere sfruttate per veicolare payload dannosi. Inoltre, è stata recentemente rivelata un’altra vulnerabilità XSS nel prodotto cPanel (CVE-2023-29489, punteggio CVSS: 6.1) che potrebbe essere sfruttata senza alcuna autenticazione per eseguire JavaScript arbitrario.
