Pengguna plugin Advanced Custom Fields di WordPress di paksa untuk melakukan pembaruan versi 6.1.6 setelah ditemukannya kelemahan keamanan.
Masalah tersebut, diberi identifikasi CVE-2023-30777, kelemahan ini berkaitan dengan kasus cross-site scripting (XSS) yang bisa disalahgunakan untuk menyuntikkan skrip dan dapat dieksekusi untuk menyerang ke situs web yang tidak berbahaya.
Plugin ini tersedia dalam versi gratis dan pro, dan telah digunakan lebih dari dua juta web aktif. Kerentanan ini ditemukan dan dilaporkan ke pengelola pada 2 Mei 2023.
“Kerentanan ini memungkinkan setiap pengguna yang tidak diautentikasi mencuri informasi sensitif, dalam hal ini, eskalasi hak istimewa di situs WordPress dengan menipu pengguna untuk mengunjungi jalur URL yang dibuat,” kata peneliti Patchstack Rafie Muhammad.
Serangan XSS biasanya dikirim ketika korban tertipu untuk mengklik tautan palsu melalui email atau rute lain, sehingga kode berbahaya dikirim ke situs web yang rentan dan akan terjadi serangan kembali ke browser pengguna.
Perlu dicatat bahwa CVE-2023-30777 dapat diaktifkan pada saat instalasi atau konfigurasi custom lanjutan. Kerentanan Advanced Custom Fields, dapat terjadi pengguna yang masuk dan memiliki akses ke plugin tersebut.
Dikutip dari : The Hacker News