Баг в плагине для WordPress стали использовать через 24 часа после появления эксплоита
Хакеры начали использовать недавно исправленную уязвимость в WordPress-плагине Advanced Custom Fields (CVE-2023-30777) всего через 24 часа после того, как для нее был опубликован PoC-эксплоит.
Проблема CVE-2023-30777 представляет собой отраженную XSS, которая позволяет неаутентифицированным злоумышленникам похищать конфиденциальную информацию и повышать свои привилегии на уязвимые сайтах под управлением WordPress. При этом плагин насчитывает более 2 000 000 активных установок.
Уязвимость была обнаружена специалистами Patchstack 2 мая 2023 года и раскрыта вместе с PoC-эксплоитом 5 мая, на следующий день после того, как разработчик плагина выпустил обновление до версии 6.1.6.
