Se ha detectado una nueva vulnerabilidad que afecta a los plugins Advanced Custom Fields (ACF) y Advanced Custom Fields Pro, los cuales cuentan con más de 2 millones de instalaciones activas. Estos plugins permiten a los usuarios agregar campos de contenido adicionales a sus pantallas de edición de WordPress, ayudando a simplificar la construcción del sitio web con una gama más amplia de campos disponibles.
La vulnerabilidad se identificada como CVE-2023-30777 con una puntuación CVSS de 7.1, es una falla de Cross-site scripting (XSS) que podría permitir que los actores maliciosos inyecten secuencias de comandos dañinas, como redireccionamientos, anuncios y otras cargas útiles de HTML, en un sitio web, que luego se ejecutarían cuando los visitantes visiten el sitio.
La vulnerabilidad proviene del controlador de la función admin_body_class dentro del plugin. Este enlace administra y filtra las clases de CSS para la etiqueta del cuerpo principal en el área de administración.
El problema surge principalmente debido a que el código construye directamente una variable en el HTML sin la desinfección adecuada. La implementación de la función esc_attr es suficiente para solucionar el problema.
Esta vulnerabilidad podría desencadenarse en una instalación o configuración predeterminada del complemento de campos personalizados avanzados y solo por usuarios registrados con acceso al complemento.
Productos afectados
- Advanced Custom Fields y Advanced Custom Fields Pro – versiones 6.1.5 y anteriores
Solución
- Advanced Custom Fields y Advanced Custom Fields Pro – versión 6.1.6
Recomendacion
- Implementar el último parche de actualización para protegerse de esta vulnerabilidad.
Referencias