کشف باگ جدید خطرناک در وردپرس

طبق گزارش اخیر، یک باگ در دو پلاگین سفارشی وردپرس باعث آسیب پذیری کاربران در برابر حملات کراس اسکریپت (XSS) می‌شود.

این باگ با نام CVE-2023-30777 در تاریخ ۲ می کشف شد و به عنوان یک آسیب پذیری خطرناک شناخته شد. شرکت سازنده پلاگین، WP Engine، پس از مطلع شدن از این آسیب پذیری، در عرض چند روز به آپدیت امنیتی نسخه ۶.۱.۶ را توضیع کردند.

این پلاگین‌ فیلدساز سفارشی محبوب به کاربران اجازه می‌دهد تا با استفاده از صفحات ویرایش وردپرس، داده‌های فیلد سفارشی و سایر ویژگی‌ها، بر سیستم مدیریت محتوای خود کنترل کاملی داشته باشند.

به گفته Bleeping Computer، باگ‌های XSS به شیوه‌ای قابل مشاهده در جلوی سایت اتفاق می‌افتند و با تزریق “اسکریپت‌های مخرب در وب سایت‌های دیده شده توسط دیگران” عمل می‌کنند که در نتیجه منجر به اجرای کد در مرورگر بازدیدکننده می‌شود.

جزئیات در مورد آسیب پذیری XSS نشان می‌دهد که این باگ ممکن است به وسیله “نصب و پیکربندی پیش‌فرض پلاگین Advanced Custom Fields” فعال شود. با این حال، برای فعال شدن این باگ، کاربران باید در ابتدا دسترسی به پلاگین Advanced Custom Fields را داشته باشند، به این معنی که  فردی باید با کلاهبرداری از فردی دیگر با داشتن دسترسی، این باگ را فعال کند، یا با تلاش خود برای رسیدن به دسترسی لازم اقدام کند.

اصلاح نسخه 6.1.6 تله موجود در admin_body_class را نشان داد که مانع از اجرای حمله XSS می شود.

کاربران باید پلاگین‌های Advanced Custom Fields و Advanced Custom Fields Pro به نسخه ۶.۱.۶ یا بالاتر از آن ارتقا دهند. بسیاری از کاربران هنوز هم مستعد حملات هستند، (تقریباً 72.1 درصد کاربران پلاگین WordPress.org، که نسخه‌های کمتر از 6.1 را استفاده می‌کنند.). این باعث آسیب‌پذیر شدن وب سایت‌های آنها نه تنها در برابر حملات XSS بلکه در برابر آسیب‌‌های دیگر نیز می‌شود.