Aviso de seguridad
Nivel de peligrosidad: Medio
Descripción
La falla CVE-2023-30777 proviene del controlador de la función 'admin_body_class', que no pudo desinfectar adecuadamente el valor de salida que controla y filtra las clases CSS para la etiqueta del cuerpo principal en el área de administración de sitios WordPress.
Un atacante puede aprovechar una concatenación de código directo no seguro en el código del complemento, específicamente la variable '$this→view', para agregar código dañino (cargas DOM XSS) en sus componentes que pasarán al producto final, una cadena de clase.
La función de limpieza utilizada por el complemento, 'sanitize_text_field', no detendrá el ataque porque no detectará la inyección de código malicioso.
Recursos afectados
Los plugins afectados son:
- Advanced Custom Fields versiones 6.1.5 y anteriores
- Advanced Custom Fields Pro versiones 6.1.5 y anteriores
Solución
- Actualizar Advanced Custom Fields a la versión 6.1.6 o posteriores.
- Actualizar Advanced Custom Fields Pro a la versión 6.1.6 o posteriores.
Recomendaciones
Se recomienda a todos los usuarios de 'Advanced Custom Fields' y 'Advanced Custom Fields Pro' que actualicen a la versión 6.1.6 o posterior lo antes posible.
Según las estadísticas de descarga de WordPress.org, el 72,1 % de los usuarios del complemento todavía usan versiones anteriores a la 6.1, que son vulnerables a XSS y otras fallas conocidas.
Referencias