Плагин Advanced Custom Fields (ACF) WordPress, имеющий более 2 миллионов установок, объявил о выпуске обновления безопасности версии 6.2.5, исправляющего уязвимость, серьезность которой неизвестна, и об этой уязвимости были опубликованы лишь ограниченные сведения.
Хотя неизвестно, какие типы эксплойтов возможны или степень ущерба, который может нанести злоумышленник, ACF сообщила, что уязвимость требует доступа на уровне участника или выше, что в определенной степени затрудняет запуск атаки.
Содержание
ACF 6.2.5 может внести критические изменения
В объявлении о выпуске безопасности предупреждалось, что изменения, внесенные в патче обновления, могут привести к поломке веб-сайтов, и предлагались инструкции по отладке этих изменений.
Обновление версии 6.2.5 вносит существенные изменения в то, как короткий код ACF обрабатывает и выводит потенциально небезопасный HTML-контент. Вывод теперь будет экранирован — процесс безопасности, который обычно удаляет нежелательный HTML-код, например вредоносные сценарии или искаженный HTML-код, чтобы отображаемый HTML-код был безопасным.
Однако это изменение, хотя и повышает безопасность, может нарушить работу сайтов, использующих короткий код для рендеринга сложных элементов HTML, таких как скрипты или iframe.
Теги с потенциальным неправомерным использованием, такие как 