Se insta a los usuarios del complemento Advanced Custom Fields para WordPress a actualizar la versión 6.1.6 después de descubrir una vulnerabilidad de seguridad.
El problema, identificador CVE-2023-30777, se relaciona con un caso de secuencias de comandos entre sitios (XSS) reflejadas que podrían abusarse para inyectar secuencias de comandos ejecutables arbitrarias en sitios web que de otro modo serían benignos.
El complemento, que viene en versiones gratuita y profesional, tiene más de dos millones de instalaciones activas. El problema se descubrió el 2 de mayo de 2023 y se informó a los mantenedores.
«Esta vulnerabilidad permite que cualquier usuario no autenticado robe información confidencial, en este caso, la escalada de privilegios en el sitio de WordPress al engañar a un usuario privilegiado para que visite la ruta URL manipulada», dijo Rafie Muhammad, investigador de Patchstack.
Los ataques XSS reflejados generalmente ocurren cuando se engaña a las víctimas para que hagan clic en un enlace falso enviado por correo electrónico u otros medios, lo que envía el código malicioso al sitio web vulnerable, lo que provoca que el ataque se desvíe hacia el navegador del usuario.
Este elemento de ingeniería social significa que el XSS reflejado no tiene el mismo alcance y escala que los ataques XSS almacenados, lo que lleva a los atacantes a distribuir el enlace malicioso a tantas víctimas como sea posible.
«[A reflected XSS attack] generalmente se debe a que las solicitudes entrantes no se desinfectan adecuadamente, lo que permite la manipulación de la funcionalidad de una aplicación web y la activación de scripts maliciosos», señala Imperva.
Vale la pena señalar que CVE-2023-30777 se puede habilitar en una instalación o configuración predeterminada de Campos personalizados avanzados, aunque esto solo lo pueden hacer los usuarios registrados que tienen acceso al complemento.
El desarrollo se produce cuando Craft CMS parchó dos errores XSS de gravedad media (CVE-2023-30177 y CVE-2023-31144) que podrían ser explotados por un actor de amenazas para entregar cargas maliciosas.
PRÓXIMO SEMINARIO WEB
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware con MFA en tiempo real y protección de cuentas de servicio.
¡Guarda mi lugar!
También sigue a la divulgación de otra falla XSS en el producto cPanel (CVE-2023-29489, puntaje CVSS: 6.1) que podría explotarse para ejecutar JavaScript arbitrario sin autenticación.
«Un atacante no solo podría atacar los puertos de administración de cPanel, sino también las aplicaciones que se ejecutan en los puertos 80 y 443», dijo Shubham Shah de Assetnote, y agregó que podría permitir que un atacante secuestrara la sesión de cPanel de una válida para secuestrar al usuario.
«Una vez que actúa en nombre de un usuario autenticado de cPanel, generalmente es trivial cargar un shell web y obtener la ejecución del comando».
¿Te pareció interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
