Advanced Custom Fields (ACF) 已经修补了影响 ACF 和 ACF Pro 6.1.5 及以下版本的反射 XSS 漏洞,可能影响超过 2+ 百万用户。它由 Patchstack 研究员 Rafie Muhammad 于 2023 年 5 月 2 日发现,并由 ACF 开发人员于 2023 年 5 月 5 日在 6.1.6 版本中进行了修补。
Patchstack发布了安全公告,Muhammad 对该漏洞的描述如下:
此漏洞允许任何未经身份验证的用户窃取敏感信息,在这种情况下,通过诱使特权用户访问特制的 URL 路径来提升 WordPress 站点上的权限。
该漏洞的严重性 CVSS 评分为 3.1。Muhammad 在安全公告中概述了概念验证。目前,还不知道该漏洞是否已被利用。ACF free 和 ACF Pro 用户请尽快更新至最新的 6.1.6 版插件。
