Een zwakke plek in de Advanced Custom Fields-plugin voor WordPress maakt het mogelijk om op zo’n twee miljoen websites malafide code in te voeren en zo de site en/of de gebruiker schade toe te brengen.
Het gaat om de plugin Advanced Custom Fields en Advanced Custom Fields Pro van Delicious Brains. De plugin geeft beheerders van een WordPress site meer controle over hun inhoud en data.
Op 5 februari ontdekte Patchstack dat het mogelijk was om via die plugin een XSS-aanval uit te voeren. Dat staat voor cross-site scripting en komt er op neer dat een aanvaller code invoert, doorgaans in een tekstvak op een site. Die code wordt vervolgens geïnterpreteerd door de site. XSS-aanvallen waren 10-15 jaar geleden zeer gangbaar. Sindsdien weten de meeste sites met invulmogelijkheden die vakken af te sluiten zodat enkel tekst mogelijk is, of code niet wordt uitgevoerd. Maar er blijven uitzonderingen opduiken.
Het zou daarbij mogelijk zijn om zo stiekem JavaScript te laten draaien in de browser van elke bezoeker van de site. Dat kan er dan weer voor zorgen dat informatie van die gebruiker wordt gestolen, of dat de hele site wordt overgenomen als de gebruiker een beheerder van de site is.
Voor het probleem kwam begin april een patch uit. Sinds 5 mei mogen Patchstack en Rafie Muhammad, de onderzoeker bij Patchstack die het ontdekte, er publiek over communiceren. Concreet moet je als gebruiker van Advanced Custom Fields updaten tot versie 6.1.6 of nieuwer. De kwetsbaarheid krijgt de CVE-code CVE-2023-30777 mee.
Fout opgemerkt of meer nieuws? Meld het hier