Исследователи безопасности из компании Patchstack обнаружили уязвимость в плагине Advanced Custom Fields (ACF) для WordPress, которая может повлиять на более 2 миллионов сайтов. Уязвимость XSS (межсайтовый скриптинг) CVE-2023−30 777 позволяет внедрять произвольные исполняемые скрипты на целевые сайты.
Согласно данным Patchstack, проблема позволяет злоумышленникам украсть конфиденциальную информацию и повысить привилегии на сайте WordPress, обманом заставив привилегированного пользователя посетить созданный URL-адрес. Уязвимость активируется при стандартной установке или настройке ACF, хотя это возможно только для пользователей, которые вошли в систему и имеют доступ к плагину.
Плагин Advanced Custom Fields установлен на более чем 2 миллионах сайтов. Проблема была обнаружена и сообщена команде разработки 2 мая. Пользователям плагина рекомендуется обновить до версии 6.1.6.
