A recente descoberta de uma falha de segurança no plug-in Advanced Custom Fields para WordPress (CVE-2023-30777) tem gerado preocupação entre usuários da plataforma.
Com mais de dois milhões de instalações ativas, o Advanced Custom Fields é um dos plug-ins mais populares entre os usuários do WordPress. A vulnerabilidade foi atribuída a um caso de cross-site scripting (XSS) refletido, o que pode permitir a injeção de scripts executáveis em sites benignos.
Embora a vulnerabilidade só possa ser ativada a partir de usuários logados com acesso ao plug-in, ela ainda representa uma ameaça significativa à segurança dos sites afetados. Os ataques XSS refletidos geralmente ocorrem quando as vítimas são induzidas a clicar em um link falso enviado por e-mail ou outra rota, fazendo com que o código malicioso seja enviado ao site vulnerável, o que reflete o ataque de volta ao navegador do usuário.
Isso significa que o XSS refletido não tem o mesmo alcance e escala que os ataques XSS armazenados, levando os agentes de ameaças a distribuir o link malicioso para o maior número possível de vítimas. Felizmente, a equipe de desenvolvimento do Advanced Custom Fields já lançou uma atualização para corrigir a falha de segurança.
Os usuários do plug-in são aconselhados a atualizar para a versão 6.1.6 o mais rápido possível. No entanto, essa vulnerabilidade serve como um lembrete importante da importância de manter todos os plug-ins e softwares relacionados ao WordPress atualizados.
Além disso, é essencial educar os usuários sobre a importância da segurança na internet e da adoção de práticas seguras de navegação e uso de senhas fortes e exclusivas. Se você usa o plug-in Advanced Custom Fields, não espere para atualizá-lo. A segurança do seu site e dos seus usuários depende disso.