El connector de WordPress Advanced Custom Fields (ACF) amb més de 2 milions d’instal·lacions va anunciar el llançament d’una actualització de seguretat, la versió 6.2.5 que corregeix una vulnerabilitat, la gravetat de la qual no es coneix i només es van publicar detalls limitats sobre la vulnerabilitat.
Tot i que no se sap quin tipus d’explotacions són possibles o l’extensió del dany que podria causar un atacant, ACF sí que va aconsellar que la vulnerabilitat requereix un accés de nivell de col·laborador o superior, cosa que fins a cert punt dificulta el llançament d’un atac.
ACF 6.2.5 Pot introduir canvis de ruptura
L’anunci de llançament de seguretat va advertir que els canvis introduïts pel pedaç d’actualització tenien el potencial de provocar que els llocs web es trenquessin i oferia instruccions sobre com depurar els canvis.
L’actualització de la versió 6.2.5 introdueix un canvi significatiu en la manera com el codi curt ACF processa i genera contingut HTML potencialment insegur. Ara s’escaparà la sortida, un procés de seguretat que normalment elimina HTML no desitjat, com ara scripts maliciosos o HTML mal format, de manera que l’HTML renderitzat sigui segur.
Tanmateix, aquest canvi, tot i que millora la seguretat, pot interrompre els llocs que utilitzen el codi curt per representar elements HTML complexos com ara scripts o iframes.
Les etiquetes amb possibilitat d’ús indegut, com ara