Une faille dans le plug-in Advanced Custom Fields pour WordPress expose deux millions de sites web à des attaques malveillantes
Une vulnérabilité a été découverte dans les plug-ins Advanced Custom Fields et Advanced Custom Fields Pro, développés par Delicious Brains pour la plateforme WordPress. Cette faille pourrait permettre l’injection de code malveillant sur près de deux millions de sites web, causant ainsi des dommages à la fois aux sites et à leurs utilisateurs.
Ces plug-ins offrent aux administrateurs de sites WordPress un contrôle accru sur leur contenu et leurs données. Le 5 février, la société de sécurité Patchstack a révélé qu’une attaque XSS (cross-site scripting) pouvait être réalisée via ces plug-ins. Les attaques XSS, fréquentes il y a 10 à 15 ans, consistent à insérer du code malveillant, généralement dans un champ de texte d’un site web, qui est ensuite interprété par celui-ci. Bien que la plupart des sites aient appris à sécuriser ces champs en n’acceptant que du texte ou en empêchant l’exécution du code, certaines exceptions subsistent.
Un correctif a été publié en avril pour résoudre ce problème. Depuis le 5 mai, Patchstack et Rafie Muhammad, le chercheur qui a découvert la faille, sont autorisés à en discuter publiquement. Les utilisateurs d’Advanced Custom Fields sont encouragés à mettre à jour vers la version 6.1.6 ou ultérieure pour sécuriser leur site. La faille a été identifiée sous le code CVE-2023-30777.