Facebook a corrigé deux vulnérabilités critiques dans son populaire plugin WordPress qui, selon Wordfence, pourraient être exploitées pour permettre une prise de contrôle complète du site Web.

La société de sécurité a annoncé hier qu’elle avait signalé les bugs au réseau social le 22 décembre de l’année dernière et le 27 janvier 2021. Les correctifs pour chacun ont été publiés le 6 janvier et le 7 février 2021, respectivement.

Les failles de sécurité concernaient le plugin, qui était auparavant connu sous le nom de pixel officiel de Facebook et qui serait installé sur environ un demi-million de sites Web dans le monde. Le logiciel est conçu pour intégrer l’outil de mesure de conversion de pixels de Facebook aux sites WordPress afin que le trafic puisse être surveillé et certaines actions de l’utilisateur enregistrées.

Le premier bogue est une vulnérabilité d’injection d’objets PHP avec une valeur CVSS de 9.

«Le cœur de la vulnérabilité PHP Object Injection était dans la fonction run_action (). Cette fonction devrait désérialiser les données utilisateur de la variable POST event_data afin qu’elles puissent être envoyées à la console Pixel », a déclaré Chloe Chamberland, analyste des menaces chez Wordfence.

«Malheureusement, cette event_data pourrait être fournie par un utilisateur. La désérialisation des entrées fournies par l’utilisateur dans PHP permet aux utilisateurs d’exposer des objets PHP qui peuvent déclencher des méthodes magiques et effectuer des actions pouvant être utilisées à des fins malveillantes. « 

Par conséquent, le bogue aurait pu être exploité pour télécharger des fichiers arbitraires et réaliser l’exécution de code à distance sur une cible vulnérable.

Le deuxième CVE était une falsification de requête intersite avec une valeur CVSS de 8,8.

Il a été accidentellement introduit lorsque les développeurs ont mis à jour le plugin vers la version 3.0 et fait référence à une fonctionnalité AJAX qui a été ajoutée pour faciliter l’intégration du logiciel aux sites WordPress.

«Cette fonctionnalité a fait l’objet d’un contrôle d’autorisation qui a empêché les utilisateurs inférieurs aux administrateurs d’y accéder. Cependant, il n’y avait pas de protection nonce. Cela signifiait qu’il n’y avait aucune vérification qu’une demande provenait d’une session administrateur authentifié légitime », a expliqué Chamberland.

« Cela a permis aux attaquants de créer une requête qui serait exécutée s’ils pouvaient convaincre un administrateur de prendre une action lors de l’authentification sur le site Web cible. »

La vulnérabilité aurait pu être exploitée pour mettre à jour les paramètres du plug-in, voler des métriques, ajouter des portes dérobées malveillantes dans des fichiers de rubrique ou créer de nouveaux comptes d’utilisateurs administratifs pour détourner complètement un site. Elle a ajouté.

Les utilisateurs sont invités à mettre à jour vers la dernière version de Facebook pour WordPress (3.0.5).



Source link

Recent Posts