WordPress 自定义字段插件漏洞导致超过 100 万个站点遭受 XSS 攻击

安全研究人员警告说，“高级自定义字段”和“高级自定义字段专业版”WordPress 插件安装数百万次，容易受到跨站点脚本攻击 (XSS)。

这两个插件是 WordPress 最受欢迎的自定义字段构建器之一，在全球站点上有 2,000,000 个活跃安装 。

Patchstack 的研究员 Rafie Muhammad 于 2023 年 5 月 2 日发现了高危反射型 XSS 漏洞，该漏洞的编号为 CVE-2023-30777。

XSS 错误通常允许攻击者在其他人查看的网站上注入恶意脚本，从而导致访问者的 Web 浏览器上执行代码。

Patchstack 表示，XSS 漏洞可能允许未经身份验证的攻击者窃取敏感信息并提升他们在受影响的 WordPress 网站上的权限。

“请注意，此漏洞可能会在 Advanced Custom Fields 插件的默认安装或配置上触发，” 公告中的 Patchstack 解释道。

“XSS 也只能由有权访问 Advanced Custom Fields 插件的登录用户触发。”

这意味着未经身份验证的攻击者仍然需要对有权访问该插件的人进行社会工程，以访问恶意 URL 以触发该漏洞。

该插件的开发人员在 Patchstack 发现该问题后收到了通知，并于 2023 年 5 月 4 日发布了 6.1.6 版的安全更新。

XSS 漏洞

CVE-2023-30777 漏洞源于“admin_body_class”函数处理程序，该函数处理程序未能正确清理钩子的输出值，该钩子控制和过滤 WordPress 管理区域中主体标签的 CSS 类（设计和布局）网站。

'admin_body_class' 函数

攻击者可以利用插件代码上的不安全直接代码串联，特别是“$this→view”变量，在其组件中添加有害代码（DOM XSS 有效负载），这些代码将传递给最终产品，一个类字符串。

插件使用的清理功能“sanitize_text_field”不会阻止攻击，因为它不会捕获恶意代码注入。

通过“current_screen”函数访问“this->view”变量

开发人员通过实施名为“ esc_attr ”的新函数修复了 6.1.6 版中的缺陷，该函数正确清理了 admin_body_class 挂钩的输出值，从而防止了 XSS。

建议“高级自定义字段”和“高级自定义字段专业版”的所有用户尽快升级到 6.1.6 或更高版本。

根据 WordPress.org 下载统计数据，72.1% 的插件用户仍在使用低于 6.1 的版本，这些版本容易受到 XSS 和其他已知缺陷的攻击。

原文始发于微信公众号（网络研究院）：WordPress 自定义字段插件漏洞导致超过 100 万个站点遭受 XSS 攻击