WordPress es utilizado por una amplia gama de sitios web. Su popularidad se debe a su facilidad de uso, capacidad de personalización y la gran cantidad de recursos disponibles.
Recientemente, se ha encontrado una vulnerabilidad que afecta al complemento Advanced Custom Fields (ACF), el cual tiene como función permitir que los sitios construidos en WordPress adquieran la funcionalidad de un sistema de gestión de contenido integral al proporcionar todas las herramientas necesarias para aprovechar al máximo los datos.
La vulnerabilidad se registra como CVE-2023-40068 con un puntaje CVSS desconocido y representa un ataque de secuencia de comandos en sitios cruzados (XSS).
La vulnerabilidad afecta las interfaces de administración de ACF, relacionadas con tipos de publicación y etiquetas de taxonomía. Un atacante podría explotarla creando una publicación maliciosa o una etiqueta manipulada. Si un usuario accede a la página con la etiqueta perjudicial, se ejecutaría el código del atacante en su navegador. Sin embargo, el atacante debe tener acceso de administrador en las pantallas de ACF y guardar contenido malicioso en publicaciones o etiquetas.
Productos y Versiones afectadas
- ACF Y ACF Pro desde las versiones 6.1.0 a 6.1.7.
Solución
- Actualizar los complementos a las versiones 6.1.8 o posteriores.
Recomendaciones
- En caso de no poder llevar a cabo la actualización de manera inmediata, puede optar por desactivar el complemento ACF hasta poder realizar la actualización.
- Haga uso de un cortafuegos de aplicaciones web (WAF) para bloquear el tráfico de naturaleza maliciosa.
- Mantenga su instalación de WordPress actualizada mediante la aplicación de los últimos parches de seguridad.
- Opte por contraseñas seguras y evite compartirlas con terceros.
- Mantenga precaución en relación con los sitios web que visita y los archivos que abre.
- Considere la opción de emplear un programa de capacitación en concienciación sobre seguridad para instruir a sus empleados acerca de las amenazas cibernéticas.
Referencias
- https://securityonline.info/wordpress-custom-field-plugin-bug-cve-2023-40068-exposes-1m-sites-to-xss-attacks/#google_vignette
- https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2023-40068
- https://wordpress.org/plugins/advanced-custom-fields/
- https://nvd.nist.gov/vuln/detail/CVE-2023-40068
- https://cve.report/CVE-2023-40068
- https://jvn.jp/en/jp/JVN98946408/