|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Advanced Custom Fields 和Advanced Custom Fields Pro插件是WordPress最受欢迎的自定义字段构建器之一,在全球站点上超过两百万个活跃安装。
5月6日,启明星辰VSRC监测到Advanced Custom Fields插件中存在反射型跨站脚本漏洞(CVE-2023-30777),目前该漏洞的细节已经公开披露。
Advanced Custom Fields插件免费版和专业版6.1.5及之前的版本中存在XSS漏洞,该漏洞源于admin_body_class函数处理程序,它未能正确清理hook(钩子)的输出值,该hook控制和过滤WordPress网站管理区域中主体标签的CSS类(设计和布局)。未经身份验证的威胁者可利用该漏洞在用户交互的情况下窃取敏感信息并在受影响的 WordPress 网站上提升权限。
二、影响范围
Advanced Custom Fields版本:<=6.1.5
Advanced Custom Fields Pro版本:<=6.1.5
三、安全措施
3.1 升级版本
目前该漏洞已经修复,受影响用户可升级到以下版本:
Advanced Custom Fields版本:>=6.1.6
下载链接:
https://wordpress.org/plugins/advanced-custom-fields/
Advanced Custom Fields Pro版本:>=6.1.6
下载链接:
https://www.advancedcustomfields.com/pro/
注:该漏洞可能会在 Advanced Custom Fields 插件的默认安装或配置上触发。
3.2 临时措施
暂无。
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
3.4 参考链接
https://patchstack.com/articles/reflected-xss-in-advanced-custom-fields-plugins-affecting-2-million-sites/
https://www.bleepingcomputer.com/news/security/wordpress-custom-field-plugin-bug-exposes-over-1m-sites-to-xss-attacks/
原文始发于微信公众号(维他命安全):【漏洞通告】WordPress Advanced Custom Fields跨站脚本漏洞(CVE-2023-30777)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论