5月9日,据theregister报道,超过200万的WordPress网站使用高级自定义字段(Advanced Custom Fields)和高级自定义字段专业版(Advanced Custom Fields Pro),这些插件用于网站运营商更好地控制内容和数据。然而,由于插件中的一个漏洞,这些网站面临着网络攻击的风险。
该漏洞由Patchstack研究员Rafie Muhammad于2月5日发现并报告给插件供应商Delicious Brains。该公司于一个月后发布了插件补丁版本。
根据Patchstack发布的漏洞详细信息,这个漏洞被追踪为CVE-2023-30777CVSS,严重性评分为6.1(满分10),使网站容易受到反射XSS攻击,进而允许恶意代码注入网页并在访问者的浏览器中执行。如果访问者是登录的管理用户,那么他们的帐户可能会被劫持,导致网站被不法分子操控。
该机构补充道,“这个漏洞可能会在高级自定义字段插件的默认安装或配置中触发。XSS也只能由有权访问高级自定义字段插件的登录用户触发。”建议用户至少将插件更新到6.1.6版本以避免风险。