Advanced Custom Fields (Free and Pro) 5.8.10 to 5.12.5 & 6.0.0 to 6.1.5 - Reflected Cross-Site Scripting via 'post_status'

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en las versiones del plugin Advanced Custom Fields desde la 5.8.10 hasta la 6.1.5. Esta falla permite a un atacante inyectar scripts maliciosos a través del parámetro 'post_status'.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja el parámetro 'post_status', permitiendo que se reflejen scripts en las respuestas del servidor. Esto crea una superficie de ataque que puede ser explotada por atacantes que envían solicitudes manipuladas.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios, permitiendo ataques como el robo de sesiones o la redirección a sitios maliciosos. Esto puede resultar en daños a la reputación de la marca y pérdida de confianza por parte de los usuarios.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas que incluyen scripts maliciosos en el parámetro 'post_status', que luego son reflejados en la respuesta del servidor.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin Advanced Custom Fields a la versión 5.12.6 o superior. Además, se deben implementar medidas de validación y sanitización de entradas para prevenir futuras inyecciones de scripts.

Señales de detección

Se deben monitorizar registros de acceso en busca de patrones inusuales en las solicitudes que incluyan el parámetro 'post_status' y respuestas que contengan scripts no autorizados.

Alcance afectado

Las versiones afectadas del plugin Advanced Custom Fields incluyen desde la 5.8.10 hasta la 6.1.5. Se aconseja a los usuarios que verifiquen sus instalaciones para asegurarse de que no están utilizando una versión vulnerable.