Um dos plugins mais populares da plataforma WordPress, o Advanced Custom Fields, é o assunto de um novo alerta de segurança. Com mais de dois milhões de instalações entre versões gratuitas e pagas, a extensão que dá novas opções aos campos de conteúdo possuía uma brecha grave que possibilitava a execução remota de códigos por criminosos, levando ao roubo de dados de usuários, manipulação de páginas e outros tipos de ataques.

• Tipos de servidores: saiba qual é o ideal para a sua empresa
• Seu plano de hospedagem atende as demandas do seu site?

A abertura, descoberta nesta semana e rastreada como CVE-2023-30777, já tem correção disponível. Entretanto, mais de 70% das instalações ativas do plugin seguem rodando versões anteriores à 6.1, que contém a atualização de segurança, e permanecem vulneráveis à exploração descoberta pelo pesquisador Rafie Muhammad, da Patchstack.

De acordo com o relatório da empresa de cibersegurança, a falha localizada é do tipo XSS (cross-site scripting) refletido, possibilitando que criminosos injetassem códigos maliciosos em páginas para que fossem executados ao serem acessadas. Bastaria que eles estivessem logados em uma página vulnerável, algo que pode acontecer diretamente em sites que exigem cadastro para uso, como lojas online, por exemplo. Em outros domínios, ataques de engenharia social poderiam possibilitar isso.

Ao obter o acesso privilegiado, os criminosos poderiam ampliar os privilégios do próprio usuário WordPress, levando à ainda mais manipulação de páginas e recursos de sites ou servidores. Segundo o alerta, esse tipo de exploração é possível em diferentes configurações do sistema de gerenciamento de conteúdo, indo desde as que rodam com preferências padrões às mais customizadas.

Felizmente, a ação dos responsáveis foi rápida, com os desenvolvedores do Advanced Custom Fields levando apenas dois dias para liberar uma atualização após serem informados sobre o problema. Agora, a aplicação do patch é recomendada aos usuários de todas as versões do plugin, incluindo sua edição Pro, com todos os sites devendo rodar a edição 6.1.6 da extensão ou superiores.

Enquanto não existem dados sobre ataques em andamento, isso não significa que eles não existam, principalmente agora que os detalhes técnicos da exploração foram divulgados publicamente. A ideia de que a maior parte dos sites está vulnerável, também, chama a atenção e serve como mais um alerta vermelho para os administradores, que precisam sempre garantir que suas plataformas estejam rodando as versões mais recentes do próprio WordPress e também dos plugins relacionados.

Fonte: Patchstack