(資料圖片)

站長(zhǎng)之家（ChinaZ.com）5月9日 消息:據(jù)報(bào)道，由于 WordPress 的“高級(jí)自定義字段”插件中的一個(gè)漏洞導(dǎo)致超過200萬用戶面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

據(jù)theregister報(bào)道，Patchstack 研究員 Rafie Muhammad 警告稱， Advanced Custom Fields 和 Advanced Custom Fields Pro 版本的活躍安裝量超過200萬，這些插件用于讓網(wǎng)站運(yùn)營(yíng)商更好地控制他們的內(nèi)容和數(shù)據(jù)，例如編輯屏幕和自定義字段數(shù)據(jù)。

Patchstack 研究員 Rafie Muhammad于2月5日發(fā)現(xiàn)了該漏洞，并將其報(bào)告給 Advanced Custom Fields 的供應(yīng)商 Delicious Brains，該公司去年從開發(fā)商 Elliot Condon 手中接管了該軟件。

Delicious Brains 發(fā)布插件補(bǔ)丁版本一個(gè)月后，Patchstack 于5月5日發(fā)布了該漏洞的詳細(xì)信息。建議用戶至少將插件更新到6.1.6版本。

該漏洞被追蹤為CVE-2023-30777CVSS ，嚴(yán)重性評(píng)分為6.1（滿分10），使網(wǎng)站容易受到反射 XSS 攻擊，這些攻擊涉及不法分子將惡意代碼注入網(wǎng)頁。然后，代碼會(huì)“反射”回來并在訪問者的瀏覽器中執(zhí)行。

也就是漏洞允許某人在另一個(gè)人的頁面視圖中運(yùn)行 JavaScript，從而允許攻擊者執(zhí)行諸如從頁面竊取信息、以用戶身份執(zhí)行操作等操作。如果訪問者是登錄的管理用戶，那將是一個(gè)大問題，因?yàn)樗麄兊膸艨赡軙?huì)被劫持，導(dǎo)致網(wǎng)站被不法分子操控。

Patchstack在其報(bào)告中寫道:“這個(gè)漏洞允許任何未經(jīng)認(rèn)證的用戶[竊取]敏感信息，在這種情況下，通過欺騙特權(quán)用戶訪問精心制作的URL路徑，在WordPress網(wǎng)站上提升特權(quán)?！痹摍C(jī)構(gòu)補(bǔ)充道，“該漏洞可能會(huì)在高級(jí)自定義字段插件的默認(rèn)安裝或配置中觸發(fā)。XSS也只能由有權(quán)訪問高級(jí)自定義字段插件的登錄用戶觸發(fā)?！?/p>

（舉報(bào)）

關(guān)鍵詞