(資料圖片)

站長之家（ChinaZ.com）5月9日 消息:據(jù)報道，由于 WordPress 的“高級自定義字段”插件中的一個漏洞導致超過200萬用戶面臨網(wǎng)絡攻擊的風險。

據(jù)theregister報道，Patchstack 研究員 Rafie Muhammad 警告稱， Advanced Custom Fields 和 Advanced Custom Fields Pro 版本的活躍安裝量超過200萬，這些插件用于讓網(wǎng)站運營商更好地控制他們的內(nèi)容和數(shù)據(jù)，例如編輯屏幕和自定義字段數(shù)據(jù)。

Patchstack 研究員 Rafie Muhammad于2月5日發(fā)現(xiàn)了該漏洞，并將其報告給 Advanced Custom Fields 的供應商 Delicious Brains，該公司去年從開發(fā)商 Elliot Condon 手中接管了該軟件。

Delicious Brains 發(fā)布插件補丁版本一個月后，Patchstack 于5月5日發(fā)布了該漏洞的詳細信息。建議用戶至少將插件更新到6.1.6版本。

該漏洞被追蹤為CVE-2023-30777CVSS ，嚴重性評分為6.1（滿分10），使網(wǎng)站容易受到反射 XSS 攻擊，這些攻擊涉及不法分子將惡意代碼注入網(wǎng)頁。然后，代碼會“反射”回來并在訪問者的瀏覽器中執(zhí)行。

也就是漏洞允許某人在另一個人的頁面視圖中運行 JavaScript，從而允許攻擊者執(zhí)行諸如從頁面竊取信息、以用戶身份執(zhí)行操作等操作。如果訪問者是登錄的管理用戶，那將是一個大問題，因為他們的帳戶可能會被劫持，導致網(wǎng)站被不法分子操控。

Patchstack在其報告中寫道:“這個漏洞允許任何未經(jīng)認證的用戶[竊取]敏感信息，在這種情況下，通過欺騙特權用戶訪問精心制作的URL路徑，在WordPress網(wǎng)站上提升特權?！痹摍C構(gòu)補充道，“該漏洞可能會在高級自定義字段插件的默認安裝或配置中觸發(fā)。XSS也只能由有權訪問高級自定義字段插件的登錄用戶觸發(fā)?！?/p>

（舉報）

關鍵詞