(資料圖片)

站長(zhǎng)之家（ChinaZ.com）5月9日 消息:據(jù)報(bào)道，由于 WordPress 的“高級(jí)自定義字段”插件中的一個(gè)漏洞導(dǎo)致超過(guò)200萬(wàn)用戶(hù)面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

據(jù)theregister報(bào)道，Patchstack 研究員 Rafie Muhammad 警告稱(chēng)， Advanced Custom Fields 和 Advanced Custom Fields Pro 版本的活躍安裝量超過(guò)200萬(wàn)，這些插件用于讓網(wǎng)站運(yùn)營(yíng)商更好地控制他們的內(nèi)容和數(shù)據(jù)，例如編輯屏幕和自定義字段數(shù)據(jù)。

Patchstack 研究員 Rafie Muhammad于2月5日發(fā)現(xiàn)了該漏洞，并將其報(bào)告給 Advanced Custom Fields 的供應(yīng)商 Delicious Brains，該公司去年從開(kāi)發(fā)商 Elliot Condon 手中接管了該軟件。

Delicious Brains 發(fā)布插件補(bǔ)丁版本一個(gè)月后，Patchstack 于5月5日發(fā)布了該漏洞的詳細(xì)信息。建議用戶(hù)至少將插件更新到6.1.6版本。

該漏洞被追蹤為CVE-2023-30777CVSS ，嚴(yán)重性評(píng)分為6.1（滿(mǎn)分10），使網(wǎng)站容易受到反射 XSS 攻擊，這些攻擊涉及不法分子將惡意代碼注入網(wǎng)頁(yè)。然后，代碼會(huì)“反射”回來(lái)并在訪問(wèn)者的瀏覽器中執(zhí)行。

也就是漏洞允許某人在另一個(gè)人的頁(yè)面視圖中運(yùn)行 JavaScript，從而允許攻擊者執(zhí)行諸如從頁(yè)面竊取信息、以用戶(hù)身份執(zhí)行操作等操作。如果訪問(wèn)者是登錄的管理用戶(hù)，那將是一個(gè)大問(wèn)題，因?yàn)樗麄兊膸?hù)可能會(huì)被劫持，導(dǎo)致網(wǎng)站被不法分子操控。

Patchstack在其報(bào)告中寫(xiě)道:“這個(gè)漏洞允許任何未經(jīng)認(rèn)證的用戶(hù)[竊取]敏感信息，在這種情況下，通過(guò)欺騙特權(quán)用戶(hù)訪問(wèn)精心制作的URL路徑，在WordPress網(wǎng)站上提升特權(quán)。”該機(jī)構(gòu)補(bǔ)充道，“該漏洞可能會(huì)在高級(jí)自定義字段插件的默認(rèn)安裝或配置中觸發(fā)。XSS也只能由有權(quán)訪問(wèn)高級(jí)自定義字段插件的登錄用戶(hù)觸發(fā)。”

（舉報(bào)）

關(guān)鍵詞