.
Os usuários do WordPress com o plug-in Advanced Custom Fields em seu site devem atualizar após a descoberta de uma vulnerabilidade no código que pode abrir sites e seus visitantes para ataques de cross-site scripting (XSS).
A aviso do Patchstack sobre a falha alegada, existem mais de dois milhões de instalações ativas das versões Advanced Custom Fields e Advanced Custom Fields Pro dos plugins, que são usadas para dar aos operadores do site maior controle de seu conteúdo e dados, como telas de edição e custom dados de campo.
Pesquisador de patchstack Rafie Muhammad descoberto a vulnerabilidade em 5 de fevereiro e relatou ao fornecedor Delicious Brains da Advanced Custom Fields, que assumiu o software ano passado do desenvolvedor Elliot Condon.
Em 5 de maio, um mês após o lançamento de uma versão corrigida dos plug-ins pelo Delicious Brains, o Patchstack publicou detalhes da falha. É recomendado que os usuários atualizem seu plugin para pelo menos a versão 6.1.6.
A falha, rastreada como CVE-2023-30777 e com uma pontuação CVSS de 6,1 em 10 em gravidade, deixa os sites vulneráveis a ataques XSS refletidos, que envolvem malfeitores injetando códigos maliciosos em páginas da web. O código é então “refletido” de volta e executado no navegador de um visitante.
Essencialmente, ele permite que alguém execute JavaScript dentro da visualização de outra pessoa de uma página, permitindo que o invasor faça coisas como roubar informações da página, executar ações como o usuário e assim por diante. Isso é um grande problema se o visitante for um usuário administrativo conectado, pois sua conta pode ser invadida para assumir o controle do site.
“Esta vulnerabilidade permite que qualquer usuário não autenticado [to steal] informações confidenciais para, neste caso, escalonamento de privilégios no site WordPress, enganando o usuário privilegiado para visitar o caminho da URL criada”, escreveu Patchstack em seu relatório.
A equipe acrescentou que “esta vulnerabilidade pode ser acionada em uma instalação ou configuração padrão do plug-in Advanced Custom Fields. O XSS também só pode ser acionado por usuários conectados que têm acesso ao plug-in Advanced Custom Fields”.
A falha é relativamente simples. Ele deriva do manipulador de função “admin_body_class”, que Patchstack disse ter sido configurado para ser um manipulador adicional para o gancho do WordPress, também chamado admin_body_class. O manipulador controla e filtra o design e o layout da tag do corpo principal na área administrativa.
O manipulador de função não limpa adequadamente esse valor do gancho, abrindo-o para que um invasor possa adicionar código malicioso, incluindo redirecionamentos, anúncios e outras cargas HTML em um site, que é executado quando uma pessoa visita o site.
De acordo com o Patchstack, a vulnerabilidade XSS foi uma das quatro encontradas no popular plugin nos últimos dois anos.
O WordPress, que completa 20 anos este mês, continua sendo o sistema de gerenciamento de conteúdo mais popular do mundo, usado por 43,2 por cento de todos os sites, de acordo com a W3Techs. Por causa das centenas de milhões de sites que o utilizam, o WordPress também se tornou um alvo popular de canalhas que querem explorar qualquer falha no sistema – é onde está o dinheiro.
De acordo com um Patchstack enquetehouve um aumento de 150% no número de vulnerabilidades do WordPress relatadas entre 2020 e 2021, e 29% dos plugins com vulnerabilidades críticas na época permaneceram sem correção.
Além disso, a facilidade de uso do WordPress permite que qualquer pessoa, desde entusiastas de tecnologia a profissionais, configure rapidamente um site, aumentando os riscos de segurança da plataforma, de acordo com Melissa Bischoping, diretora de pesquisa de segurança de endpoints da empresa de segurança cibernética Tanium.
“Como muitos dos plug-ins disponíveis para sites WordPress são desenvolvidos pela comunidade, eles podem não ser auditados e mantidos regularmente”, disse Bischoping Strong The One. “Os próprios plug-ins podem conter vulnerabilidades de segurança e também é fácil configurar incorretamente permissões ou configurações de plug-in, expondo oportunidades adicionais de exploração”.
Ela acrescentou que “para alguns dos plug-ins mais populares, eles podem estar presentes em literalmente milhões de sites, o que é um grande escopo de oportunidades para um agente de ameaças”.
Casey Ellis, fundador e CTO do crowdsourcer de segurança Bugcrowd, disse Strong The One que qualquer pessoa cujo site WordPress seja hackeado deve migrá-lo para um host SaaS, onde a manutenção da segurança é terceirizada e um firewall de aplicativo da web pode ser colocado na frente do site.
“A grande maioria dos blogueiros e proprietários de pequenas empresas que administram sites WordPress … não são especialistas em segurança cibernética”, disse Ellis. “O WordPress certamente precisa ser atualizado de forma consistente, especialmente se você tiver um site com vários plug-ins e códigos de terceiros.” ®
.
