Foi identificada uma vulnerabilidade de segurança no plug-in Advanced Custom Fields para WordPress, o que levou à solicitação de atualização para a versão 6.1.6 por parte dos usuários. A vulnerabilidade, identificada como CVE-2023-30777, envolve um caso de cross-site scripting refletido que permite a injeção de scripts executáveis arbitrários. O plug-in, que está disponível em versões gratuita e profissional, é utilizado em mais de dois milhões de sites.
A vulnerabilidade foi descoberta em 2 de maio de 2023 e comunicada aos mantenedores. Normalmente, os ataques XSS refletidos ocorrem quando o usuário clica em um link falso enviado por e-mail ou outra rota, o que faz com que o código malicioso seja enviado ao site vulnerável e, em seguida, refletido de volta para o navegador do usuário.
Essa forma de ataque é menos escalável do que os ataques XSS armazenados, levando os agentes maliciosos a distribuírem o link malicioso para o maior número possível de vítimas, usando a engenharia social. O CEO da HackerSec, Andrew Martinez, destaca a importância de manter o WordPress atualizado e utilizar um bom WAF para garantir a segurança cibernética, especialmente considerando que o WordPress é o CMS mais utilizado no mundo, inclusive por grandes empresas.