Según un informe reciente, una falla en dos complementos personalizados de WordPress deja a los usuarios vulnerables a los ataques de secuencias de comandos entre sitios (XSS).
El investigador de Patchstack, Rafie Muhammad, descubrió recientemente una falla XSS en los complementos Advanced Custom Fields y Advanced Custom Fields Pro, que, según Bleeping Computer, están instalados activamente por más de 2 millones de usuarios en todo el mundo.
El error, etiquetado como CVE-2023-30777, se descubrió el 2 de mayo y se destacó con alta prioridad. El desarrollador de complementos WP Engine lanzó rápidamente una actualización de seguridad, la versión 6.1.6, el 4 de mayo, a los pocos días de enterarse de la vulnerabilidad.
Los populares creadores de campos personalizados permiten a los usuarios un control total sobre su sistema de administración de contenido desde el backend, con pantallas de edición de WordPress, datos de campos personalizados y otras características.
Sin embargo, los errores XSS se pueden ver en primera línea y funcionan «inyectando scripts maliciosos en sitios web vistos por otros, lo que resulta en la ejecución de código en el navegador web del visitante», agregó Bleeping Computer.
Esto podría dejar a los visitantes del sitio web vulnerables a que sus datos sean robados por sitios de WordPress infectados, señaló Patchstack.
Los detalles de la vulnerabilidad XSS indican que puede desencadenarse por una «instalación o configuración predeterminada del complemento de campos personalizados avanzados». Sin embargo, los usuarios tendrían que haber iniciado sesión en el complemento Advanced Custom Fields para incluso activarlo, lo que significa que un atacante tendría que engañar a alguien con acceso para activar la falla, agregaron los investigadores.
El error CVE-2023-30777 se puede encontrar en el controlador de funciones admin_body_class, donde un atacante podría inyectar código malicioso. Específicamente, este error inyecta cargas útiles DOM XSS en el código mal diseñado que no son detectados por la salida de desinfección del código, un tipo de medida de seguridad que es parte del error.
La solución 6.1.6 introdujo el gancho admin_body_class, que evita que se ejecute el ataque XSS.
Los usuarios de Advanced Custom Fields y Advanced Custom Fields Pro deben actualizar los complementos a la versión 6.1.6 o posterior. Muchos usuarios siguen siendo vulnerables a los ataques, con aproximadamente el 72,1 % de los usuarios de complementos de WordPress.org que ejecutan versiones anteriores a la 6.1. Esto deja a sus sitios web vulnerables no solo a los ataques XSS sino también a otras vulnerabilidades en la naturaleza, según la publicación.
Recomendaciones del editor
