Alvorlig feil i populær WordPress-plugin rammer over to millioner nettsider

Sikkerhetshull i Advanced Custom Fields skaper hodebry for svært mange.

Det har nemlig blitt oppdaget en sårbarhet i koden til Advanced Custom Fields-pluginen som kan åpne opp både nettsiden din og besøkende til et cross-site scripting (XSS)-angrep. 📸: Justin Morgan
Det har nemlig blitt oppdaget en sårbarhet i koden til Advanced Custom Fields-pluginen som kan åpne opp både nettsiden din og besøkende til et cross-site scripting (XSS)-angrep. 📸: Justin Morgan Vis mer

Wordpress-brukere med "Advanced Custom Fields"-pluginen på nettsiden bør oppgradere, hvertfall til minst versjon 6.1.6.

Det har nemlig blitt oppdaget en sårbarhet i koden som kan åpne opp både nettsiden din og besøkende til et cross-site scripting (XSS)-angrep, melder The Register.

Mer enn to millioner installasjoner

Patchstack, som oppdaget sårbarheten, hevder at det finnes mer enn to millioner aktive installasjoner av Advanced Custom Fields og Advanced Custom Fields Pro-versjonene av pluginen, skriver The Register.

Pluginen gir administratorer større kontroll over data og innhold.

Sårbarheten, som har fått navnet CVE-2023-30777 og en CVSS-alvorlighetsgrad på 6.1 av 10, gjør nettsider sårbare for reflekterte XSS-angrep.

Kan være alvorlig

The Register forklarer at det med "reflektert" menes at koden reflekteres tilbake, og så kjøres i nettleseren til brukeren. Noe som gjør det mulig å kjøre JavaScript i visningen av nettsiden.

Angriperen kan så stjele informasjon og utføre ondsinnede handlinger som bruker.

Ifølge nettavisen kan dette kan bli et alvorlig problem dersom den besøkende er pålogget som en administrator - da kan kontoen bli kapret for å overta nettstedet.