Peneliti keamanan memperingatkan bahwa plugin WordPress ‘Advanced Custom Fields’ dan ‘Advanced Custom Fields Pro’, dengan jutaan pemasangan, rentan terhadap serangan skrip lintas situs (XSS).
Kedua plugin tersebut adalah salah satu pembuat bidang khusus WordPress yang paling populer, dengan 2.000.000 pemasangan aktif di situs di seluruh dunia.
Peneliti Patchstack Rafi Muhammad menemukan kerentanan XSS yang tercermin dengan tingkat keparahan tinggi pada 2 Mei 2023, yang diberi pengenal CVE-2023-30777.
Bug XSS umumnya memungkinkan penyerang menyuntikkan skrip berbahaya di situs web yang dilihat oleh orang lain, yang mengakibatkan eksekusi kode di browser web pengunjung.
Patchstack mengatakan cacat XSS dapat memungkinkan penyerang yang tidak diautentikasi mencuri informasi sensitif dan meningkatkan hak istimewa mereka di situs WordPress yang terpengaruh.
“Perhatikan bahwa kerentanan ini dapat dipicu pada instalasi default atau konfigurasi plugin Advanced Custom Fields,” menjelaskan Patchstack di buletin.
XSS juga hanya dapat dipicu dari pengguna yang masuk yang memiliki akses ke plugin Advanced Custom Fields.
Ini berarti penyerang yang tidak diautentikasi masih harus merekayasa sosial seseorang yang memiliki akses ke plugin untuk mengunjungi URL berbahaya guna memicu cacat.
Pengembang plugin diberitahu tentang masalah ini setelah penemuan Patchstack dan merilis pembaruan keamanan pada 4 Mei 2023, dalam versi 6.1.6.
Cacat XSS
Cacat CVE-2023-30777 berasal dari penangan fungsi ‘admin_body_class’, yang gagal membersihkan dengan benar nilai output dari hook yang mengontrol dan memfilter kelas CSS (desain dan tata letak) untuk tag body utama di area admin WordPress situs.
Penyerang dapat memanfaatkan rangkaian kode langsung yang tidak aman pada kode plugin, khususnya variabel ‘$this→view’, untuk menambahkan kode berbahaya (payload DOM XSS) dalam komponennya yang akan diteruskan ke produk akhir, string kelas.
Fungsi pembersihan yang digunakan oleh plugin, ‘sanitize_text_field,’ tidak akan menghentikan serangan karena tidak akan menangkap injeksi kode berbahaya.
Semua pengguna ‘Bidang Kustom Lanjutan’ dan ‘Bidang Kustom Lanjutan Pro’ disarankan untuk meningkatkan ke versi 6.1.6 atau lebih baru sesegera mungkin.
Berdasarkan WordPress.org unduh statistik72,1% pengguna plugin masih menggunakan versi di bawah 6.1, yang rentan terhadap XSS dan kelemahan lain yang diketahui.
