Fecha de publicación: Mié, 10/05/2023 - 11:10

Aviso de seguridad

Nivel de peligrosidad: Medio

Descripción

La falla CVE-2023-30777 proviene del controlador de la función 'admin_body_class', que no pudo desinfectar adecuadamente el valor de salida que controla y filtra las clases CSS para la etiqueta del cuerpo principal en el área de administración de sitios WordPress.

Un atacante puede aprovechar una concatenación de código directo no seguro en el código del complemento, específicamente la variable '$this→view', para agregar código dañino (cargas DOM XSS) en sus componentes que pasarán al producto final, una cadena de clase.

La función de limpieza utilizada por el complemento, 'sanitize_text_field', no detendrá el ataque porque no detectará la inyección de código malicioso.

Recursos afectados

Los plugins afectados son:

  • Advanced Custom Fields versiones 6.1.5 y  anteriores
  • Advanced Custom Fields Pro versiones 6.1.5 y anteriores 

Solución

  • Actualizar Advanced Custom Fields a la versión 6.1.6 o posteriores. 
  • Actualizar Advanced Custom Fields Pro a la versión 6.1.6 o posteriores. 

Recomendaciones

Se recomienda a todos los usuarios de 'Advanced Custom Fields' y 'Advanced Custom Fields Pro' que actualicen a la versión 6.1.6 o posterior lo antes posible.

Según  las estadísticas de descarga de WordPress.org, el 72,1 % de los usuarios del complemento todavía usan versiones anteriores a la 6.1, que son vulnerables a XSS y otras fallas conocidas.

Referencias

El error del complemento de campo personalizado de WordPress expone más de 1 millón de sitios a ataques XSS