• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202305/1844480_30003_0.htm

WordPress Advanced Custom Fields跨站脚本漏洞通告(CVE-2023-30777)

【发布时间:2023-05-11】

新华三盾山实验室

2023/05/06


1. 漏洞综述

1.1 漏洞背景

Advanced Custom Fields是一款 WordPress 插件,用于增强WordPress网站的定制化功能。提供了图形化的界面,简化了创建自定义字段的过程。Advanced Custom Fields Pro则是 Advanced Custom Fields的专业版本,提供更强大的功能,如构建自定义块类型等。近日,新华三盾山实验室监测到Advanced Custom Fields跨站脚本漏洞(CVE-2023-30777)相关信息,且漏洞细节已公开,攻击者利用该漏洞可在用户交互的情况下窃取敏感信息并在受影响的WordPress 网站上提升权限。

1.2 漏洞详情

该漏洞由于admin_body_class函数未能正确处理hook(钩子)的输出值,未经身份验证的恶意攻击者通过注入恶意脚本代码,成功利用此漏洞可窃取敏感信息甚至提升网站用户权限。

2. 影响范围

Advanced Custom Fields <=6.1.5

Advanced Custom Fields Pro <=6.1.5

3. 严重等级

威胁等级

高危

影响程度

广泛

利用价值

利用难度

漏洞评分

/

4. 处置方法

4.1 官方补丁

目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:

Advanced Custom Fields下载链接:https://wordpress.org/plugins/advanced-custom-fields/

Advanced Custom Fields Pro下载链接:https://www.advancedcustomfields.com/pro/

5. 参考链接

https://patchstack.com/articles/reflected-xss-in-advanced-custom-fields-plugins-affecting-2-million-sites/

新华三官网
联系我们