Захист WordPress

Виправлено плагін Advanced Custom Fields

Pinterest LinkedIn Tumblr

У Advanced Custom Fields (ACF) виправлено вразливість XSS, яка наявна у версіях 6.1.5 та нижче плагінів ACF і ACF Pro. Дана вразливість вплинула на понад 2 мільйони користувачів плагіна по всьому світу. Проблему знайдено дослідником Рафі Мухаммадом 2 травня 2023 року та виправлено розробниками ACF у версії 6.1.6 5 травня 2023 року.

Мухаммад описав уразливість так:

Ця вразливість дозволяє будь-якому неавтентифікованому користувачеві викрасти конфіденційну інформацію, наприклад, для підвищення привілеїв на сайті WordPress шляхом обману (робиться так, щоб привілейований користувач відвідав створений URL).

Уразливість отримала високу оцінку серйозності CVSS 3,1. Наразі відомо, що вразливість вже використовувалася. Користувачі ACF free та ACF Pro повинні якнайшвидше оновити плагін до останньої версії 6.1.6.

Дмитро Кондрюк в веб-індустрії з 2003 року. В 2009р. заснував проект Український WordPress (що у подальшому став офіційним сайтом команди локалізації WordPress в Україні). З 2010 року засновник і технічний директор проекту Український хостинг для WordPress (WPHost.me) - повноцінного хостинг-сервісу, максимально оптимізованого на використання CMS WordPress.

Коментувати