Más de 2 millones de sitios web que utilizan un plugin de WordPress están en riesgo debido a una vulnerabilidad recién descubierta. El problema de seguridad podría permitir que los ciberdelincuentes realicen ataques a través del plugin.
Una vulnerabilidad de seguridad en el plugin Advanced Custom Fields para WordPress ha sido descubierta y los usuarios son instados a actualizar a la versión 6.1.6 para evitar la explotación de la misma. La vulnerabilidad, identificada como CVE-2023-30777, permite la inyección de scripts ejecutables arbitrarios a través de un caso de scripting en sitio cruzado (XSS) reflejado.
Un investigador de seguridad de Patchstack informó de una vulnerabilidad en el plugin Advanced Custom Fields de WordPress, que podría permitir a un usuario no autenticado acceder a información confidencial o escalar privilegios en el sitio. El problema fue reportado a los administradores el pasado 2 de mayo de 2023 y afecta a las más de dos millones de instalaciones activas del plugin.
Ataque XSS reflejado.
Según reporta The Hacker News, una técnica de ataque común conocida como XSS reflejado se aprovecha de la ingenuidad de las víctimas al hacer clic en un enlace falso enviado por correo electrónico u otro medio, lo que provoca la inyección de código malicioso en el sitio web objetivo, que luego se refleja de vuelta al navegador del usuario.
Imperva explica que los ataques XSS reflejados son menos extensos que los ataques XSS almacenados, ya que requieren de ingeniería social para que la víctima haga clic en un enlace malicioso.
Este tipo de ataque se produce cuando las solicitudes entrantes no son suficientemente sanitizadas, lo que permite la manipulación de las funciones de una aplicación web y la ejecución de scripts maliciosos.
Craft CMS ha parcheado dos fallas de XSS de gravedad media, mientras que en cPanel se ha descubierto otra vulnerabilidad que permitiría a los atacantes secuestrar la sesión válida de un usuario y ejecutar comandos.