به این آسیب پذیری نمره CVSS با شدت بالا 3.1 داده شد. محمد در بولتن امنیتی یک اثبات مفهومی را بیان کرد. در حال حاضر، مشخص نیست که این آسیب پذیری مورد سوء استفاده قرار گرفته باشد. ACF free و کاربران ACF Pro باید در اسرع وقت به آخرین نسخه 6.1.6 افزونه آپدیت کنند.
منبع: https://wptavern.com/advanced-custom-fields-plugin-patches-reflected-xss-vulnerability
Advanced Custom Fields (ACF) یک آسیبپذیری XSS منعکس شده را اصلاح کرده است که بر نسخههای 6.1.5 و پایینتر ACF و ACF Pro تأثیر میگذارد و احتمالاً بیش از 2 میلیون کاربر را تحت تأثیر قرار میدهد. توسط محقق Patchstack Rafie Muhammad در فوریه 2023 کشف شد و توسط توسعه دهندگان ACF در نسخه 6.1.6 در آوریل وصله شد.
این آسیبپذیری به هر کاربر احراز هویت نشده اجازه میدهد تا اطلاعات حساس را برای افزایش امتیاز در سایت وردپرس با فریب دادن یک کاربر ممتاز برای بازدید از مسیر URL ساختهشده، بدزدد.
پچ استک بولتن امنیتی منتشر کرد و محمد این آسیب پذیری را به شرح زیر توصیف کرد: