Plus de deux millions de sites web recourrant au plugin Advanced Custom Fields seraient vulnérables à une faille de type « cross site scripting » (XSS), rapporte The Register.
Ladite faille a été découverte le 2 mai par Rafie Muhammad, chercheur à Patchstack, et notifiée dans la foulée à Delicious Brains, l'éditeur du plugin, qui urge ses utilisateurs de déployer la dernière mise à jour (6.1.6).
« Cette vulnérabilité permet à tout utilisateur non authentifié [de voler] des informations sensibles ou, dans ce cas, de procéder à une escalade des privilèges sur le site WordPress en incitant l'utilisateur privilégié à visiter le chemin d'URL élaboré », précise Patchstack. La faille, répertoriée sous le nom de CVE-2023-30777, est dotée d'un score CVSS de 6,1 sur 10 en termes de gravité.
Utilisé par 43,2 % de tous les sites web, selon W3Techs, Wordpress, qui fête ses 20 ans ce mois-ci, est devenu une cible d'autant plus privilégiée que nombre de ses utilisateurs ne sont pas des professionnels de l'informatique, et qu'il repose sur un écosystème de plugins maintenus par des tiers.
Patchstack estime que le nombre de vulnérabilités de WordPress signalées entre 2020 et 2021 a augmenté de 150 %, et que 29 % des plugins présentant des vulnérabilités critiques à l'époque n'ont pas été corrigés.