Aktor ancaman terlihat mengadopsi kode eksploitasi proof-of-concept (PoC) publik yang menargetkan kerentanan cross-site scripting (XSS) di plugin Advanced Custom Fields WordPress hanya dua hari setelah patch dirilis, Laporan Akamai.
Dilacak sebagai CVE-2023-30777, kerentanan tingkat keparahan tinggi dapat memungkinkan penyerang menginjeksi skrip berbahaya dan muatan lainnya ke situs web yang rentan. Kode akan dieksekusi ketika tamu mengunjungi situs web korban.
Dihasilkan dari sanitasi output yang tidak tepat dalam fungsi yang dikonfigurasi sebagai penangan tambahan untuk hook WordPress, masalah ini dapat dipicu pada instalasi plugin default dan tidak memerlukan otentikasi untuk eksploitasi yang berhasil.
CVE-2023-30777 telah diatasi dengan rilis Advanced Custom Fields versi 6.1.6 pada 4 Mei. Patch juga disertakan dalam plugin versi 5.12.6.
Upaya eksploitasi yang menargetkan kerentanan, kata Akamai, mulai meningkat pada 6 Mei, dua hari setelah patch dan satu hari setelah informasi teknis tentang bug diterbitkan.
Menurut Akamai, aspek yang paling menarik dari serangan yang diamati adalah fakta bahwa mereka menggunakan eksploitasi PoC yang sama dengan perusahaan keamanan WordPress Patchstack, yang mengidentifikasi kerentanan, yang diterbitkan pada 5 Mei.
Aktor ancaman di balik peningkatan volume serangan yang menargetkan organisasi di berbagai sektor ini tampaknya tidak canggih, mengingat "kurangnya upaya mereka untuk membuat kode eksploitasi baru", catat Akamai.
Dengan lebih dari dua juta situs web WordPress menggunakan Bidang Kustom Tingkat Lanjut, eksploitasi CVE-2023-30777 kemungkinan akan terus berlanjut. Pengguna disarankan untuk memperbarui instalasi mereka sesegera mungkin.
