محققان امنیتی هشدار میدهند که افزونههای وردپرس Advanced Custom Fields و Advanced Custom Fields Pro با که در میلیونها سایت نصب شدهاند، در برابر حملات اسکریپت بین سایتی (XSS) آسیبپذیر هستند.
این دو افزونه با 2,000,000 نصب فعال در سایتها در سراسر جهان، از محبوب ترین پلاگینهای وردپرس هستند.
رفیع محمد، کارشناس شرکت پچ استک (Patchstack)، هفته گذشته آسیبپذیری XSS را کشف کرد که به آن شناسه CVE-2023-30777 اختصاص یافت.
آسیبپذیریهای XSS عموماً به مهاجمان اجازه میدهند تا اسکریپتهای مخرب را در وبسایتهایی که توسط دیگران مشاهده میشوند تزریق کنند و در نتیجه کدی را در مرورگر وب بازدیدکننده اجرا کنند.
پچ استک میگوید که نقص XSS میتواند به یک مهاجم تایید نشده اجازه دهد تا اطلاعات حساس را بدزدد و امتیازات دسترسی خود را در یک سایت تحت تأثیر وردپرس افزایش دهد.
پچ استک توضیح میدهد:«توجه داشته باشید که این آسیب پذیری میتواند در فایلهای نصب شده یا پیکربندی افزونه Advanced Custom Fields فعال شود.»
XSS همچنین میتواند از طریق کاربرانی که به افزونه Advanced Custom Fields دسترسی دارند صورت بگیرد.
یعنی مهاجم همچنان باید سیستم شخصی را که به این افزونه دسترسی دارد هدایت کند تا از یک آدرس اینترنتی مخرب برای ایجاد نقص بازدید کند.
پس از اعلام پچ استک، توسعهدهنده پلاگین از این مشکل مطلع شد و به سرعت بهروزرسانی امنیتی آن را در 4 می 2023 در نسخه 6.1.6 منتشر کرد. بنابراین کسانی که این پلاگینها را در وبسایت خود نصب کردهاند باید به سرعت نسبت به بهروزرسانی اقدام نمایند.
