La vulnérabilité du plugin ACF WordPress affecte jusqu'à plus de 2 millions de sites

Le plugin WordPress Advanced Custom Fields (ACF) avec plus de 2 millions d'installations a annoncé la publication d'une mise à jour de sécurité, version 6.2.5, qui corrige une vulnérabilité dont la gravité n'est pas connue et seuls des détails limités ont été publiés sur la vulnérabilité.

Bien que l'on ne sache pas quels types d'exploits sont possibles ni l'étendue des dommages qu'un attaquant pourrait causer, ACF a indiqué que la vulnérabilité nécessite un accès de niveau contributeur ou supérieur, ce qui, dans une certaine mesure, rend plus difficile le lancement d'une attaque.

ACF 6.2.5 peut introduire des changements importants

L'annonce de la version de sécurité avertissait que les modifications introduites par le correctif de mise à jour risquaient de provoquer le dysfonctionnement des sites Web et proposait des instructions sur la façon de déboguer les modifications.

La mise à jour de la version 6.2.5 introduit un changement significatif dans la façon dont le shortcode ACF traite et génère du contenu HTML potentiellement dangereux. La sortie sera désormais échappée, un processus de sécurité qui supprime généralement le HTML indésirable comme les scripts malveillants ou le HTML malformé afin que le HTML rendu soit sécurisé.

Cependant, ce changement, tout en améliorant la sécurité, pourrait perturber les sites utilisant le shortcode pour restituer des éléments HTML complexes tels que des scripts ou des iframes.

Balises susceptibles d'être utilisées à mauvais escient, telles que