Уязвимость плагина WordPress угрожает двум миллионам сайтов

Advanced Custom Fields — популярный плагин для WordPress экстренно выпустил версию 6.2.5. На сегодняшний день плагин насчитывает более 2 миллионов скачиваний.

Уязвимость позволяет обойти протокол ACF и внедрить вредоносный HTML-код. Чтобы справиться с этой проблемой безопасности, в новой версии предусмотрено выявление и удаление небезопасного HTML из шорткодов. В случае обнаружения таковых WordPress оповестит администратора об ошибке, что позволит последнему быстрее справиться с проблемой.

Обновление также позволит избежать ситуации, когда пользователи ролей, отличных от администратора, могут вручную установить значение пользовательского метаэлемента вне ACF. Ее также можно использовать для внедрения вредоносного HTML-кода.

Разработчики ACF уже запланировали следующее обновление на февраль 2024 года. В версии 6.2.7 обещают добавить сообщения об ошибке при вставке небезопасного HTML-кода в the_field() или the_sub_field().