5月10日消息,Advanced Custom Fields(ACF)是一款使用频率较高的WordPress插件,已在全球超过200万个站点安装,近日曝光该插件存在XSS(跨站点脚本)的高危漏洞。
ACF的这个XSS漏洞允许网站在未经站长允许的情况下,未授权用户潜在地窃取敏感信息。
恶意行为者可能会利用插件的漏洞注入恶意脚本,例如重定向、广告和其他HTML有效负载。如果有用户访问被篡改的网站之后,用户设备就会感染并执行恶意脚本。
目前官方已经发布了6.16版本更新,修复了上述漏洞。如果有站长依然在使用6.15及此前版本,IT之家推荐尽快升级。(责编 故渊)