Plus de 2 millions de sites Web sont vulnérables au vol de données via XSS en raison d’une vulnérabilité dans le plugin WordPress Advanced Custom Fields (Pro).
Plus de deux millions de sites WordPress utilisent le plugin Advanced Custom Fields (Pro), dans lequel un chercheur en informatique a récemment découvert une nouvelle vulnérabilité. Cela permet aux attaquants d’infiltrer le site Web via XSS et de voler des données sensibles aux visiteurs. Un correctif est déjà disponible, mais plus de 70 % de tous les administrateurs ne l’ont pas encore installé.
Les champs personnalisés avancés (Pro) sont vulnérables via XSS
La plupart des administrateurs doivent être conscients que chaque plugin supplémentaire est plutôt désavantageux pour la sécurité d’un site WordPress. Ce sont précisément ces petits assistants qui rendent le système de gestion de contenu (CMS) gratuit particulièrement populaire.
Cependant, comme l’a récemment découvert un chercheur en sécurité, il existe une vulnérabilité dans le plugin WordPress très répandu appelé « Champs personnalisés avancés (Pro)” pour le fait que des millions de sites Web sont actuellement vulnérables aux attaques de script intersite (XSS).
Cela permet aux attaquants d’injecter du code malveillant dans les pages concernées, que le navigateur Web des autres visiteurs exécute ensuite. En conséquence, des données et des comptes utilisateur sensibles peuvent être volés, par exemple. Une escalade de droits sur le site WordPress infiltré par l’intrus est également envisageable.
Plus de deux millions de sites Web touchés
Selon un rapport de BleepingComputer, Rafie Muhammad, chercheur à la société de cybersécurité Patchstack, n’a pris connaissance de la vulnérabilité CVE-2023-30777 que le 2 mai 2023. De plus, il est possible pour les utilisateurs WordPress connectés de mener une attaque XSS s’ils « Avoir accès au plugin Advanced Custom Fields”.
Par conséquent, afin d’exploiter efficacement la vulnérabilité du plug-in de création de champs personnalisés WordPress, un attaquant devrait d’abord accéder à un compte légitime par d’autres moyens. Avec plus de deux millions d’installations actives de l’outil, le terrain de jeu des cybercriminels n’est pas exactement petit.
D’autant que, selon le rapport de la pile de correctifs, la vulnérabilité peut déjà être exploitée dans la configuration par défaut du plugin WordPress. Donc, si vous venez d’installer l’outil sans l’utiliser réellement, vous n’êtes toujours pas protégé.
Mettez à jour les champs personnalisés avancés (Pro) vers la version 6.1.6 maintenant
Le 4 mai, deux jours seulement après sa découverte, le développeur WP Engine a corrigé la vulnérabilité de son plugin WordPress. A partir de la version 6.1.6, Advanced Custom Fields (Pro) n’est donc plus vulnérable aux attaques de ce type.
Malheureusement, les statistiques officielles de téléchargement montrent que plus de 70 % de tous les sites WordPress qui ont installé le plugin utilisent toujours une version antérieure à la 6.1. Les administrateurs doivent mettre à jour l’outil de toute urgence pour protéger les visiteurs de leur site Web contre d’éventuelles attaques XSS.