Estás leyendo la publicación: Más de 1 millón de sitios web de WordPress en riesgo de ataques XXS debido al complemento Buggy
Los expertos en seguridad han emitido una advertencia con respecto a los complementos ‘Advanced Custom Fields’ y ‘Advanced Custom Fields Pro’ para WordPress, que tienen millones de instalaciones y son susceptibles a ataques de secuencias de comandos entre sitios (XSS).
Estos complementos son creadores de campos personalizados muy populares en WordPress y son utilizados por aproximadamente 2,000,000 de sitios web activos en todo el mundo.
La vulnerabilidad identificada como CVE-2023-30777 pertenece a un escenario de secuencias de comandos en sitios cruzados reflejadas (XSS), que potencialmente puede explotarse para inyectar secuencias de comandos ejecutables maliciosas en sitios web que se consideran seguros y no amenazantes.
BleepingComputer informó que el 2 de mayo de 2023, Rafie Muhammad, investigador de Patchstack, identificó la vulnerabilidad XSS reflejada de alta gravedad que se designó como CVE-2023-30777.
Las vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) generalmente permiten a los atacantes introducir secuencias de comandos maliciosas en sitios web a los que acceden otros, lo que lleva a la ejecución de código en el navegador web del visitante.
“Esta vulnerabilidad permite que cualquier usuario no autenticado robe información confidencial para, en este caso, escalar privilegios en el sitio de WordPress al engañar a un usuario privilegiado para que visite la ruta de URL manipulada”
Según Patchstack, la vulnerabilidad XSS tiene el potencial de permitir que un atacante no autorizado robe datos confidenciales y aumente sus privilegios en un sitio web de WordPress comprometido.
Los ataques XSS reflejados suelen tener lugar cuando se engaña a las víctimas para que hagan clic en un enlace falso, que transmite el código malicioso al sitio web susceptible y, posteriormente, refleja el ataque en el navegador web del usuario.
La presencia de ingeniería social es un factor significativo en los ataques XSS reflejados, lo que limita su alcance y alcance en comparación con los ataques XSS almacenados.
Esta restricción lleva a los actores maliciosos a distribuir el enlace dañino a tantas víctimas como sea posible en un esfuerzo por maximizar el impacto del ataque.
Una vez que Patchstack alertó al desarrollador del complemento sobre la vulnerabilidad, se lanzó rápidamente una actualización de seguridad el 4 de mayo de 2023, como la versión 6.1.6.
