Alvorlig feil i populær WordPress-plugin rammer over to millioner nettsider

Wordpress-brukere med "Advanced Custom Fields"-pluginen på nettsiden bør oppgradere, hvertfall til minst versjon 6.1.6.

Det har nemlig blitt oppdaget en sårbarhet i koden som kan åpne opp både nettsiden din og besøkende til et cross-site scripting (XSS)-angrep, melder The Register.

Den norske hackeren "Petter" hevder han stjeler fra de rike, gir til de fattige

- Jeg liker å stjele fra de som ikke har fortjent pengene sine, og gi til de fattige og de som er trengende, sier hacker i NRK-podcast.

Mer enn to millioner installasjoner

Patchstack, som oppdaget sårbarheten, hevder at det finnes mer enn to millioner aktive installasjoner av Advanced Custom Fields og Advanced Custom Fields Pro-versjonene av pluginen, skriver The Register.

Pluginen gir administratorer større kontroll over data og innhold.

Sårbarheten, som har fått navnet CVE-2023-30777 og en CVSS-alvorlighetsgrad på 6.1 av 10, gjør nettsider sårbare for reflekterte XSS-angrep.

NSM advarer mot kunstig intelligens, deepfakes og virtuell virkelighet

NSM ser flere teknologiske trusler mot Norge i sine sikkerhetsfaglige råd fram mot 2030.

Kan være alvorlig

The Register forklarer at det med "reflektert" menes at koden reflekteres tilbake, og så kjøres i nettleseren til brukeren. Noe som gjør det mulig å kjøre JavaScript i visningen av nettsiden.

Angriperen kan så stjele informasjon og utføre ondsinnede handlinger som bruker.

Ifølge nettavisen kan dette kan bli et alvorlig problem dersom den besøkende er pålogget som en administrator - da kan kontoen bli kapret for å overta nettstedet.

ChatGPT lagde nesten bare usikker kode. Og sier bare i fra hvis du spør

- Gir elendige råd, sier forskere som har undersøkt ChatGPT.