活跃安装量超过200万的WordPress网站构建器的一个流行插件存在严重缺陷,允许威胁行为者窃取访问者的敏感数据,并在某些情况下完全接管网站。
该插件称为高级自定义字段,与其专业版一起,使网站管理员可以更好地控制网站的内容和数据。
然而,该插件容易受到跨站脚本(XSS)攻击,攻击者可以将恶意代码注入易受攻击的网站。然后代码在访问者的浏览器中运行,从而允许攻击者获取敏感数据。如果其中一位访问者也是该网站的管理员,那么攻击者也可以获取他们的数据,并最终完全接管该网站。
它的跟踪编号为CVE-2023-30777,严重程度评级为6.1/10。两个月后,即4月初,DeliciousBrains发布了一个补丁来解决该缺陷,同时将该插件升级到版本6.1.6。担心跨站点脚本攻击的管理员应该确保他们的插件尽快升级到此版本。
Patchstack表示:“此漏洞允许任何未经身份验证的用户窃取敏感信息,在这种情况下,可以通过欺骗特权用户访问精心设计的URL路径来提升WordPress网站的权限。”研究人员总结道:“默认安装或配置高级自定义字段插件时可能会触发此漏洞。XSS也只能由有权访问高级自定义字段插件的登录用户触发。”
根据TheRegister的说法,该缺陷相对简单,是过去几年在该插件中发现的四个缺陷之一。