El complemento de WordPress Advanced Custom Fields (ACF) con más de 2 millones de instalaciones anunció el lanzamiento de una actualización de seguridad, versión 6.2.5, que parchea una vulnerabilidad, cuya gravedad se desconoce y solo se publicaron detalles limitados sobre la vulnerabilidad.
Si bien no se sabe qué tipo de exploits son posibles o el alcance del daño que podría causar un atacante, ACF advirtió que la vulnerabilidad requiere un nivel de acceso de colaborador o superior, lo que hasta cierto punto hace que sea más difícil lanzar un ataque.
ACF 6.2.5 puede introducir cambios importantes
El anuncio de la versión de seguridad advirtió que los cambios introducidos por el parche de actualización tenían el potencial de causar fallas en los sitios web y ofreció instrucciones sobre cómo depurar los cambios.
La actualización de la versión 6.2.5 introduce un cambio significativo en la forma en que el código corto ACF procesa y genera contenido HTML potencialmente inseguro. Ahora se escapará la salida, un proceso de seguridad que normalmente elimina HTML no deseado, como scripts maliciosos o HTML con formato incorrecto, para que el HTML renderizado sea seguro.
Sin embargo, este cambio, si bien mejora la seguridad, podría interrumpir los sitios que utilizan el código abreviado para representar elementos HTML complejos como scripts o iframes.
Las etiquetas con potencial de uso indebido, como
