Un nouveau bogue WordPress pourrait avoir laissé 2 millions de sites vulnérables
Selon un récent rapport, une faille dans deux plug-ins personnalisés WordPress rend les utilisateurs vulnérables aux attaques de script intersite (XSS).
Le chercheur de Patchstack Rafie Muhammad a récemment découvert une faille XSS dans les plug-ins Advanced Custom Fields et Advanced Custom Fields Pro , qui sont activement installés par plus de 2 millions d'utilisateurs dans le monde, selon Bleeping Computer .
La faille, appelée CVE-2023-30777, a été découverte le 2 mai et a reçu une importance élevée. Le développeur des plug-ins, WP Engine, a rapidement fourni une mise à jour de sécurité, la version 6.1.6, quelques jours après avoir pris connaissance de la vulnérabilité, le 4 mai.
Les constructeurs de champs personnalisés populaires permettent aux utilisateurs d'avoir le contrôle total de leur système de gestion de contenu depuis le back-end, avec des écrans d'édition WordPress, des données de champs personnalisés et d'autres fonctionnalités.
Cependant, les bogues XSS peuvent être vus de manière frontale et fonctionnent en injectant "des scripts malveillants sur des sites Web consultés par d'autres, entraînant l'exécution de code sur le navigateur Web du visiteur", a ajouté Bleeping Computer.
Cela pourrait laisser les visiteurs du site Web ouverts au vol de leurs données sur des sites WordPress infectés, a noté Patchstack.
Les spécificités de la vulnérabilité XSS indiquent qu'elle pourrait être déclenchée par une "installation ou configuration par défaut du plug-in Advanced Custom Fields". Cependant, les utilisateurs devraient avoir un accès connecté au plug-in Advanced Custom Fields pour le déclencher en premier lieu, ce qui signifie qu'un mauvais acteur devrait tromper quelqu'un ayant accès pour déclencher la faille, ont ajouté les chercheurs.
La faille CVE-2023-30777 se trouve dans le gestionnaire de fonction admin_body_class , dans lequel un acteur malveillant peut injecter du code malveillant. En particulier, ce bogue injecte des charges utiles DOM XSS dans le code mal rédigé, qui n'est pas intercepté par la sortie de nettoyage du code, une sorte de mesure de sécurité, qui fait partie de la faille.
Le correctif de la version 6.1.6 a introduit le crochet admin_body_class, qui empêche l'attaque XSS de pouvoir s'exécuter.
Les utilisateurs de Advanced Custom Fields et Advanced Custom Fields Pro doivent mettre à niveau les plug-ins vers la version 6.1.6 ou ultérieure. De nombreux utilisateurs restent vulnérables aux attaques, avec environ 72,1 % des utilisateurs du plug-in WordPress.org ayant des versions inférieures à 6.1. Cela rend leurs sites Web vulnérables non seulement aux attaques XSS, mais également à d'autres failles dans la nature, selon la publication.