(https://i.imgur.com/xLwO9oi.png)
Se insta a los usuarios del complemento Advanced Custom Fields para WordPress a actualizar la versión 6.1.6 tras el descubrimiento de una falla de seguridad.
El problema, asignado al identificador CVE-2023-30777, se relaciona con un caso de secuencias de comandos entre sitios reflejadas (XSS) que podrían abusarse para inyectar secuencias de comandos ejecutables arbitrarias en sitios web benignos.
El plugin, que está disponible tanto en versión gratuita como en versión pro, tiene más de dos millones de instalaciones activas. El problema fue descubierto e informado a los mantenedores el 2 de mayo de 2023.
"Esta vulnerabilidad permite a cualquier usuario no autenticado robar información confidencial para, en este caso, escalar privilegios en el sitio de WordPress engañando a un usuario privilegiado para que visite la ruta URL diseñada", dijo el investigador de Patchstack Rafie Muhammad.
Los ataques XSS reflejados generalmente ocurren cuando las víctimas son engañadas para que hagan clic en un enlace falso enviado por correo electrónico u otra ruta, lo que hace que el código malicioso se envíe al sitio web vulnerable, lo que refleja el ataque al navegador del usuario.
Este elemento de ingeniería social significa que XSS reflejado no tiene el mismo alcance y escala que los ataques XSS almacenados, lo que lleva a los actores de amenazas a distribuir el enlace malicioso a tantas víctimas como sea posible.
"[Un ataque XSS reflejado] suele ser el resultado de que las solicitudes entrantes no están suficientemente desinfectadas, lo que permite la manipulación de las funciones de una aplicación web y la activación de scripts maliciosos", señala Imperva.
(https://i.imgur.com/qptFZjz.png)
Vale la pena señalar que CVE-2023-30777 se puede activar en una instalación o configuración predeterminada de Advanced Custom Fields, aunque solo es posible hacerlo desde usuarios conectados que tienen acceso al complemento.
El desarrollo se produce cuando Craft CMS parcheó dos fallas XSS de gravedad media (CVE-2023-30177 y CVE-2023-31144) que podrían ser explotadas por un actor de amenazas para servir cargas maliciosas.
También sigue la divulgación de otra falla XSS en el producto cPanel (CVE-2023-29489, puntuación CVSS: 6.1) que podría explotarse sin ninguna autenticación para ejecutar JavaScript arbitrario.
"Un atacante no solo puede atacar los puertos de administración de cPanel, sino también las aplicaciones que se ejecutan en el puerto 80 y 443", dijo Shubham Shah de Assetnote, y agregó que podría permitir a un adversario secuestrar la sesión de cPanel de un usuario válido.
"Una vez que se actúa en nombre de un usuario autenticado de cPanel, generalmente es trivial cargar un shell web y obtener la ejecución de comandos".
Fuente: https://thehackernews.com