Nueva vulnerabilidad XSS afecta a plugins de WordPress

Se ha detectado una nueva vulnerabilidad que afecta a los plugins Advanced Custom Fields (ACF) y Advanced Custom Fields Pro, los cuales cuentan con más de 2 millones de instalaciones activas. Estos plugins permiten a los usuarios agregar campos de contenido adicionales a sus pantallas de edición de WordPress, ayudando a simplificar la construcción del sitio web con una gama más amplia de campos disponibles.

La vulnerabilidad se identificada como CVE-2023-30777 con una puntuación CVSS de 7.1, es una falla de Cross-site scripting (XSS) que podría permitir que los actores maliciosos inyecten secuencias de comandos dañinas, como redireccionamientos, anuncios y otras cargas útiles de HTML, en un sitio web, que luego se ejecutarían cuando los visitantes visiten el sitio.

La vulnerabilidad proviene del controlador de la función admin_body_class dentro del plugin. Este enlace administra y filtra las clases de CSS para la etiqueta del cuerpo principal en el área de administración.

El problema surge principalmente debido a que el código construye directamente una variable en el HTML sin la desinfección adecuada. La implementación de la función esc_attr es suficiente para solucionar el problema.

Esta vulnerabilidad podría desencadenarse en una instalación o configuración predeterminada del complemento de campos personalizados avanzados y solo por usuarios registrados con acceso al complemento.

Productos afectados

  • Advanced Custom Fields y Advanced Custom Fields Pro – versiones 6.1.5 y anteriores

Solución

  • Advanced Custom Fields y Advanced Custom Fields Pro – versión 6.1.6

Recomendacion

  • Implementar el último parche de actualización para protegerse de esta vulnerabilidad.

Referencias