محققان امنیتی هشدار می‌دهند که افزونه‌های وردپرس Advanced Custom Fields و Advanced Custom Fields Pro با که در میلیون‌ها سایت نصب شده‌اند، در برابر حملات اسکریپت بین سایتی (XSS) آسیب‌پذیر هستند.

در صورت که نیاز به مشاوره و خرید یا نصب در زمینه تلفن سانترال و یا دوربین مدار بسته و یا سوئیچ شبکه را دارید لطفا با شمارهای 02188354375 و یا 09121988790 تماس بفرمایید.

این دو افزونه با 2,000,000 نصب فعال در سایت‌ها در سراسر جهان، از محبوب ترین پلاگین‌های وردپرس هستند.

رفیع محمد، کارشناس شرکت پچ استک (Patchstack)، هفته گذشته آسیب‌پذیری XSS را کشف کرد که به آن شناسه CVE-2023-30777 اختصاص یافت.

آسیب‌پذیری‌های XSS عموماً به مهاجمان اجازه می‌دهند تا اسکریپت‌های مخرب را در وب‌سایت‌هایی که توسط دیگران مشاهده می‌شوند تزریق کنند و در نتیجه کدی را در مرورگر وب بازدیدکننده اجرا کنند.

پچ استک می‌گوید که نقص XSS می‌تواند به یک مهاجم تایید نشده اجازه دهد تا اطلاعات حساس را بدزدد و امتیازات دسترسی خود را در یک سایت تحت تأثیر وردپرس افزایش دهد.

پچ استک توضیح می‌دهد:«توجه داشته باشید که این آسیب پذیری می‌تواند در فایل‌های نصب شده یا پیکربندی افزونه Advanced Custom Fields فعال شود.»

XSS همچنین می‌تواند از طریق کاربرانی که به افزونه Advanced Custom Fields دسترسی دارند صورت بگیرد.

یعنی مهاجم همچنان باید سیستم شخصی را که به این افزونه دسترسی دارد هدایت کند تا از یک آدرس اینترنتی مخرب برای ایجاد نقص بازدید کند.

پس از اعلام پچ استک، توسعه‌دهنده پلاگین از این مشکل مطلع شد و به سرعت به‌روزرسانی امنیتی آن را در 4 می 2023 در نسخه 6.1.6 منتشر کرد. بنابراین کسانی که این پلاگین‌ها را در وبسایت خود نصب کرده‌اند باید به سرعت نسبت به به‌روزرسانی اقدام نمایند.