Bug do WordPress é explorado dois dias após liberação de patch

Da Redação
15/05/2023

Operadores de ameaças foram rastreados usando código de exploração público de prova de conceito (PoC) direcionado a uma vulnerabilidade de script entre sites (XSS) no plug-in Advanced Custom Fields do WordPress dois dias após o lançamento de um patch, relata a Akamai. Rastreada como CVE-2023-30777, a vulnerabilidade de alta gravidade pode permitir que invasores injetem scripts maliciosos e outras cargas úteis em sites vulneráveis. O código seria executado quando os visitantes visitassem o site.

Resultante de uma sanitização imprópria da saída em uma função configurada como um manipulador extra para um gancho do WordPress, o problema pode ser acionado em instalações de plug-in padrão e não requer autenticação para exploração bem-sucedida.

O CVE-2023-30777 foi resolvido com o lançamento do Advanced Custom Fields versão 6.1.6 em 4 de maio. O patch também foi incluído na versão 5.12.6 do plug-in.

As tentativas de exploração visando a vulnerabilidade, diz a Akamai, começaram a aumentar no dia 6 deste mês, dois dias após o patch e um dia após a publicação de informações técnicas sobre o bug. No dia 7, o CISO Advisor publicou notícia informando que pesquisadores de segurança tinham descoberto que os plug-ins do Advanced Custom Fields e Advanced Custom Fields Pro do WordPress, com 2 milhões  de instalações ativas em sites em todo o mundo, estavam vulneráveis a ataques de script entre sites (XSS).

Veja isso
Bug do WordPress expõe mais de 1 milhão de sites a ataques XSS
Balada Injector infectou 1 milhão de sites WordPress desde 2017

Segundo a Akamai, o aspecto mais interessante dos ataques observados foi o fato de estarem usando o mesmo exploit PoC que a empresa de segurança do WordPress Patchstack, que identificou a vulnerabilidade, publicou no dia 5 deste mês.

O operador da ameaça por trás desse volume crescente de ataques direcionados a organizações em vários setores não parece sofisticado, devido à sua “completa falta de esforço para criar um novo código de exploração”, observa a Akamai.Com mais de 2 milhões de sites WordPress usando campos personalizados avançados, a exploração do CVE-2023-30777 provavelmente continuará. Os usuários são aconselhados a atualizar suas instalações o mais rápido possível.

Compartilhar: