Ein neuer WordPress-Fehler hat möglicherweise 2 Millionen Websites anfällig gemacht
Laut einem kürzlich erschienenen Bericht macht ein Fehler in zwei benutzerdefinierten WordPress -Plugins Benutzer anfällig für Cross-Site-Scripting-Angriffe (XSS).
Der Patchstack-Forscher Rafie Muhammad entdeckte laut Bleeping Computer kürzlich einen XSS-Fehler in den Plug-ins Advanced Custom Fields und Advanced Custom Fields Pro , die von über 2 Millionen Benutzern weltweit aktiv installiert werden.
Der Fehler mit der Bezeichnung CVE-2023-30777 wurde am 2. Mai entdeckt und mit hoher Priorität hervorgehoben. Der Entwickler der Plug-ins, WP Engine, stellte am 4. Mai innerhalb weniger Tage, nachdem er von der Schwachstelle erfahren hatte, schnell ein Sicherheitsupdate, Version 6.1.6, zur Verfügung.
Die beliebten Builder für benutzerdefinierte Felder ermöglichen Benutzern die volle Kontrolle über ihr Content-Management-System vom Backend aus, mit WordPress-Bearbeitungsbildschirmen, benutzerdefinierten Felddaten und anderen Funktionen.
XSS-Bugs können jedoch von vorne gesehen werden und funktionieren, indem sie „bösartige Skripte auf Websites einschleusen, die von anderen angesehen werden, was zur Ausführung von Code im Webbrowser des Besuchers führt“, fügte Bleeping Computer hinzu.
Dies könnte Website-Besucher anfällig dafür machen, dass ihre Daten von infizierten WordPress-Sites gestohlen werden, stellte Patchstack fest.
Einzelheiten zur XSS-Schwachstelle deuten darauf hin, dass sie möglicherweise durch eine „Standardinstallation oder -konfiguration des Advanced Custom Fields-Plug-ins“ ausgelöst wird. Benutzer müssten jedoch angemeldeten Zugriff auf das Advanced Custom Fields-Plug-in haben, um es überhaupt auszulösen, was bedeutet, dass ein Angreifer jemanden mit Zugriff austricksen müsste, um den Fehler auszulösen, fügten die Forscher hinzu.
Der Fehler CVE-2023-30777 ist im Funktionshandler admin_body_class zu finden, in dem ein Angreifer schädlichen Code einschleusen kann. Insbesondere fügt dieser Fehler DOM-XSS-Nutzlasten in den falsch entworfenen Code ein, der nicht von der Bereinigungsausgabe des Codes abgefangen wird, einer Art Sicherheitsmaßnahme, die Teil des Fehlers ist.
Der Fix in Version 6.1.6 führte den Hook admin_body_class ein, der verhindert, dass der XSS-Angriff ausgeführt werden kann.
Benutzer von Advanced Custom Fields und Advanced Custom Fields Pro sollten die Plug-ins auf Version 6.1.6 oder höher aktualisieren. Viele Benutzer bleiben anfällig für Angriffe, wobei ungefähr 72,1 % der WordPress.org-Plug-in-Benutzer Versionen unter 6.1 verwenden. Dies macht ihre Websites nicht nur anfällig für XSS-Angriffe, sondern auch für andere Schwachstellen in freier Wildbahn, so die Veröffentlichung.