اگر از وردپرس استفاده می‌کنیدحتما بخوانید

محققان امنیتی هشدار می‌دهند که افزونه‌های وردپرس Advanced Custom Fields و Advanced Custom Fields Pro با که در میلیون‌ها سایت نصب شده‌اند، در برابر حملات اسکریپت بین سایتی (XSS) آسیب‌پذیر هستند.

این دو افزونه با ۲,۰۰۰,۰۰۰ نصب فعال در سایت‌ها در سراسر جهان، از محبوب‌ترین پلاگین‌های وردپرس هستند.

رفیع محمد، کارشناس شرکت پچ استک (Patchstack)، هفته گذشته آسیب‌پذیری XSS را کشف کرد که به آن شناسه CVE-۲۰۲۳-۳۰۷۷۷ اختصاص یافت.

آسیب‌پذیری‌های XSS عموماً به مهاجمان اجازه می‌دهند تا اسکریپت‌های مخرب را در وب‌سایت‌هایی که توسط دیگران مشاهده می‌شوند تزریق کنند و در نتیجه کدی را در مرورگر وب بازدیدکننده اجرا کنند.

پچ استک می‌گوید که نقص XSS می‌تواند به یک مهاجم تایید نشده اجازه دهد تا اطلاعات حساس را بدزدد و امتیازات دسترسی خود را در یک سایت تحت تأثیر وردپرس افزایش دهد.

پچ استک توضیح می‌دهد: «توجه داشته باشید که این آسیب پذیری می‌تواند در فایل‌های نصب شده یا پیکربندی افزونه Advanced Custom Fields فعال شود.»

XSS همچنین می‌تواند از طریق کاربرانی که به افزونه Advanced Custom Fields دسترسی دارند صورت بگیرد.

یعنی مهاجم همچنان باید سیستم شخصی را که به این افزونه دسترسی دارد هدایت کند تا از یک آدرس اینترنتی مخرب برای ایجاد نقص بازدید کند.

پس از اعلام پچ استک، توسعه‌دهنده پلاگین از این مشکل مطلع شد و به سرعت به‌روزرسانی امنیتی آن را در ۴ می ۲۰۲۳ در نسخه ۶.۱.۶ منتشر کرد؛ بنابراین کسانی که این پلاگین‌ها را در وبسایت خود نصب کرده‌اند باید به سرعت نسبت به به‌روزرسانی اقدام نمایند.