Falha em plugin do WordPress afeta mais de 2 milhões de sites
Se utiliza um site baseado em WordPress, com os plugins Advanced Custom Fields ou Advanced Custom Fields Pro, e não o atualizou recentemente, pode estar aberto a possíveis ataques no mesmo derivado de uma recente falha descoberta sobre o plugin.
O Advanced Custom Fields é um plugin popular do WordPress, com mais de 2.000.000 instalações ativas em todo o mundo. No entanto, de forma recente, o investigador de segurança Rafie Muhammad revelou ter descoberto uma vulnerabilidade sobre o mesmo, que pode abrir a possibilidade de ataques XSS aos sites que o tenham instalado.
A falha foi originalmente descoberta no dia 2 de Maio. Um ataque XSS permite que os atacantes possam injetar código malicioso nos sites, que pode ser carregado para terceiros, e levar a que conteúdos maliciosos sejam também carregados nos navegadores dos visitantes do site.
Segundo o investigador, a falha pode permitir que os atacantes executem código malicioso em sites WordPress, ao mesmo tempo que também poderá levar a que seja feita a elevação de privilégios, garantindo acesso à área de administração.
A falha apenas pode ser executada se os utilizadores estiverem com o login nas suas contas do site, e tenham acesso às configurações do Advanced Custom Fields. No entanto, isto pode permitir que os atacantes criem links maliciosamente criados para esquemas de phishing, que podem ser abertos pelos responsáveis dos sites.
Os utilizadores que usem estes plugins devem atualizar o quanto antes para a versão 6.1.6, que já se encontra disponível e corrige a falha. De acordo com os dados do próprio WordPress, atualmente 72.1% das instalações do plugin encontram-se na versão 6.1 ou inferior, e como tal, vulneráveis aos ataques.