Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a los plugins Advanced Custom Fields y Advanced Custom Fields Pro de WordPress, que permitiría a un atacante realizar ataques del tipo Cross-site Scripting (XSS) a través del sitio web afectado.
La vulnerabilidad identificada como CVE-2023-40068, sin severidad ni puntuación asignada de aún. Esta vulnerabilidad del tipo Cross-site Scripting (XSS) almacenada se debe a una falla en la validación de datos de entrada del usuario en los plugins Advanced Custom Fields y Advanced Custom Fields Pro de WordPress. Esto permitiría a un atacante remoto con acceso de administrador, a través de solicitudes HTML especialmente diseñadas enviadas al sitio web, realizar inyección y ejecución de scripts en el navegador web de la víctima y así obtener información confidencial y secuestrar sesiones de cuentas activas.
Los productos afectados son:
- Advanced Custom Fields, versión 6.1.0 a 6.1.7.
- Advanced Custom Fields Pro, versión 6.1.0 a 6.1.7.
Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en el siguiente enlace:
Adicionalmente, si no es posible actualizar inmediatamente se deben seguir los siguientes pasos de mitigación:
- Deshabilitar el plugin ACF hasta que se logre actualizar.
- Utilizar un firewall de aplicaciones web (WAF) para bloquear el tráfico malintencionado.
- Mantener la instalación de WordPress actualizada con los últimos parches de seguridad.
- Utilizar contraseñas seguras.
Referencias: