Advanced Custom Fields 5.7.7 Cross-Site Scripting

En la última versión de Advanced Custom Fields parece que se ha solventado una vulnerabilidad que permitía almacenar en campos personalizados información en HTML sin filtrar, lo que significa que se podrían almacenar scripts en la base de datos y que posteriormente fueran usados contra los visitantes.

La explicación de ACF es breve pero clara, y básicamente vienen a explicar que se ha corregido en la versión 5.7.8 era posible que un usuario accediendo como Autor pudiera guardar HTML sin filtrar como un valor personalizado. Básicamente lo que han hechoe s que los usuarios de nivel Autor tengan, de forma obligada, filtrados todos los valores de los campos mediante la función wp_kses_post_deep().

EXPLOITDB: 45935
WPVDB ID: 9163

Deja un comentario