<p>15/05/2023<br />
Dear Users,</p>
<p> </p>
<p>The vulnerability in question is CVE-2023-30777, a high-severity reflected<br />
cross-site scripting (XSS) flaw that allows unauthenticated attackers to<br />
steal sensitive information and escalate their privileges on impacted<br />
WordPress sites.</p>
<p>The XSS flaw requires the involvement of a logged-in user who has access to<br />
the plugin to run malicious code on their browser that will give the<br />
attackers high-privileged access to the site.</p>
<p>The malicious scans indicate that this mitigation factor doesn't dishearten<br />
threat actors who trust that they can overcome it through basic trickery and<br />
social engineering.</p>
<p>Also, the exploit works on default configurations of the impacted plugin<br />
versions, which increases the chances of success for the threat actors<br />
without requiring extra effort.</p>
<p>We recommend Users working with WordPress in their Virtual Machines on Cineca<br />
Cloud to upgrade 'Advanced Custom Fields' free and pro plugins to version<br />
5.12.6 (backported) and 6.1.6.</p>
<p> </p>
<p>*<a href="https://www.bleepingcomputer.com/news/security/hackers-use-public-exploit-to-attack-vulnerable-wordpress-sites/*">https://www.bleepingcomputer.com/news/security/hackers-use-public-exploi...</a></p>
<p>*<br />
*</p>
<p>Best regards,</p>
<p>HPC User Support @ CINECA</p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>