Os usuários do plug-in Advanced Custom Fields para WordPress estão sendo solicitados a atualizar a versão 6.1.6 após a descoberta de uma falha de segurança.

A falha CVE-2023-30777, está relacionada a um caso de cross-site scripting refletido que pode ser usado para injetar scripts executáveis arbitrários. O plug-in, disponível nas versões gratuita e profissional, possui mais de dois milhões de instalações ativas.

O problema foi descoberto e relatado aos mantenedores em 2 de maio de 2023. Os ataques XSS refletidos geralmente ocorrem quando as vítimas são induzidas a clicar em um link falso enviado por e-mail ou outra rota, fazendo com que o código malicioso seja enviado ao site vulnerável, o que reflete o ataque de volta ao navegador do usuário.

Esse elemento de engenharia social significa que o XSS refletido não tem o mesmo alcance e escala que os ataques XSS armazenados, levando os agentes de ameaças a distribuir o link malicioso para o maior número possível de vítimas.

“O WordPress é o CMS mais utilizado no mundo, onde até mesmo grandes empresas gerenciam seus sites, logo mantê-lo atualizado e utilizar um bom WAF é o mínimo que deve ser feito para manter uma boa cibersegurança.” comenta Andrew Martinez, CEO da HackerSec.