最近のレポートによると、2 つの WordPress カスタム プラグインの欠陥により、ユーザーはクロスサイト スクリプティング攻撃 (XSS) に対して脆弱になっています。
Bleeping Computer によると、 Patchstack 研究者の Rafie Muhammad 氏は最近、世界中で 200 万人を超えるユーザーが積極的にインストールしている Advanced Custom Fields および Advanced Custom Fields Pro プラグインに XSS の欠陥を発見しました。
CVE-2023-30777 と呼ばれるこの欠陥は 5 月 2 日に発見され、重大度が高く評価されました。プラグインの開発者である WP Engine は、この脆弱性を知ってから数日以内に、5 月 4 日にセキュリティ アップデート バージョン 6.1.6 を迅速に提供しました。
人気の カスタム フィールド ビルダーを使用する と、ユーザーは WordPress 編集画面、カスタム フィールド データ、その他の機能を備えたコンテンツ管理システムをバックエンドから完全に制御できます。
しかし、XSS バグは正面から見ることができ、「他の人が閲覧している Web サイトに悪意のあるスクリプトを挿入し、その結果、訪問者の Web ブラウザ上でコードが実行される」ことによって機能する可能性があると Bleeping Computer は付け加えました。
これにより、Web サイト訪問者は感染した WordPress サイトからデータを盗まれる危険にさらされる可能性があると Patchstack は指摘しました。
XSS 脆弱性の詳細は、「Advanced Custom Fields プラグインのデフォルトのインストールまたは構成」によって引き起こされる可能性があることを示しています。ただし、最初にこのプラグインをトリガーするには、ユーザーが Advanced Custom Fields プラグインにログイン アクセスする必要があるため、悪意のある攻撃者がアクセス権を持つ誰かを騙して欠陥をトリガーする必要があると研究者らは付け加えました。
CVE-2023-30777 の欠陥は admin_body_class 関数ハンドラーで見つかり、悪意のある者が悪意のあるコードを挿入する可能性があります。特に、このバグは、不適切に作成されたコードに DOM XSS ペイロードを挿入しますが、これは、欠陥の一部である、ある種のセキュリティ対策であるコードのサニタイズ出力では検出されません。
バージョン 6.1.6 の修正では 、XSS 攻撃の実行をブロックする admin_body_class フックが 導入されました。
Advanced Custom Fields および Advanced Custom Fields Pro のユーザーは、プラグインをバージョン 6.1.6 以降にアップグレードする必要があります。多くのユーザーは依然として攻撃を受けやすく、WordPress.org プラグイン ユーザーの約 72.1% は 6.1 より前のバージョンを実行しています。このため、彼らの Web サイトは XSS 攻撃だけでなく、その他の一般的な欠陥に対しても脆弱になると同出版物は述べています。