使用 Advanced Custom Fields 插件的 WordPress 用户需要尽快升级。该插件发现了一个漏洞允许跨站脚本攻击。Advanced Custom Fields 是一款非常受欢迎的插件，活跃安装量逾两百万，被网站运营者用于控制内容和数据。Patchstack 研究员 Rafie Muhammad 在 4 月 2 日发现了漏洞，随后报告给了控制该插件的 Delicious Brains。在补丁释出一个月之后的 5 月 5 日，Patchstack 公布了漏洞细节，它推荐用户将插件更新到 v6.1.6 版本。漏洞编号为 CVE-2023-30777，严重性评分 6.1/10。攻击者可以利用该漏洞诱使具有权限用户访问特制 URL 路径而获得高权限，窃取网站敏感信息。

https://www.theregister.com/2023/05/08/wordpress_plugin_vulnerability/