Suona l’allarme per milioni di siti Web basati su WordPress: dopo la campagna malware Balada Injector, a colpire il famoso servizio è una falla riguardante uno dei plug-in più utilizzati al mondo. Tale vulnerabilità, scoperta dal ricercatore di Patchstack Rafie Muhammad, permetterebbe ai malintenzionati di aprire un portale con tale strumento ed effettuare attacchi XSS, ovvero di cross-site scripting, per inserire codice dannoso nelle pagine Web e, dunque, all’interno dei browser degli utenti.

WordPress: allarme per Advanced Custom Fields

La vulnerabilità del plug-in in questione è stata individuata lo scorso 2 maggio ma, abilmente, il fornitore Delicious Brains ha rilasciato tempestivamente l’aggiornamento per risolvere il problema. Identificato come CVE-2023-30777, il difetto ha un punteggio di gravità pari a 6,1 punti su 10, in quanto consente a un cybercriminale di eseguire JavaScript all’interno della visualizzazione di una pagina, rubando informazioni ed eseguendo azioni come utente, compresi gli admin.

In altre parole, un malintenzionato può effettivamente dirottare un account per assumerne il controllo. Come afferma Patchstack, la vulnerabilità permette a chiunque di rubare dati sensibili tramite l’escalation dei privilegi sul sito WordPress.

Scendendo nel dettaglio, il difetto sfrutterebbe un errore nel controllo della funzione “admin_body_class”, permettendo infine l’accesso al sito e l’aggiunta di codice dannoso, inclusi reindirizzamenti, pubblicità e altri payload HTML.

Complessivamente si parla di circa 2 milioni di siti Web a rischio, che necessitano l’aggiornamento rapido del plug-in al fine di tutelare gli utenti e non solo: del resto, anche i dati sensibili degli amministratori sono a rischio. Se anche voi avete un sito WordPress con Advanced Custom Fields, procedete il prima possibile con l’update all’ultima versione disponibile per il download.