Sélectionner une page


Deux graves failles de sécurité ont été corrigées dans le plugin Facebook pour WordPress.

Publié par l’équipe de Wordfence Threat Intelligence cette semainequi ont mis Bugs Impact en favoris Facebook pour WordPress, anciennement connu sous le nom de Pixel Facebook officiel.

Le plug-in, qui enregistre les actions des utilisateurs lors de la visite d’une page et surveille le trafic du site Web, a été installé sur plus de 500 000 sites Web.

Le 22 décembre, des chercheurs en cybersécurité ont signalé en privé une vulnérabilité critique au fournisseur avec une cote de gravité CVSS de 9. La vulnérabilité appelée PHP Object Injection a été trouvée dans la fonction run_action () du logiciel.

Si un nonce valide était généré – par exemple à l’aide d’un script personnalisé – un attaquant pourrait alimenter le plugin avec des objets PHP à des fins malveillantes et même télécharger des fichiers sur un site Web vulnérable et réaliser Remote Code Execution (RCE).

«Ce bogue permettait aux attaquants non authentifiés ayant accès aux sels et clés secrets d’un site d’obtenir l’exécution de code à distance grâce à une faiblesse de désérialisation», explique l’équipe.

La deuxième vulnérabilité, jugée très importante, a été découverte le 27 janvier. La vulnérabilité de falsification des requêtes intersites, qui conduit à un problème de script entre différents sites, a été introduite par inadvertance lorsque le plugin a été renommé.

Lors de la mise à jour du logiciel, une fonction AJAX a été introduite pour simplifier l’intégration du plugin. Cependant, selon Wordfence, un problème avec la vérification des autorisations dans la fonctionnalité a donné aux attaquants la possibilité de créer des requêtes qui pourraient être exécutées « s’ils pouvaient convaincre un administrateur de prendre une action lors de l’authentification sur le site Web cible ».

« L’action pourrait être utilisée par un attaquant pour mettre à jour les paramètres du plugin pour pointer vers sa propre console Facebook Pixel et voler des métriques pour un site », a déclaré l’équipe. « Pire encore, puisque les paramètres enregistrés n’ont pas été nettoyés, un attaquant pourrait insérer du JavaScript malveillant dans les valeurs des paramètres. »

Un JavaScript malveillant peut être utilisé, par exemple, pour créer des portes dérobées dans les conceptions ou créer de nouveaux comptes d’administrateur pour détourner des sites Web entiers.

Les rapports ont été acceptés par l’équipe de sécurité de Facebook et un correctif pour la première vulnérabilité a été publié le 6 janvier, suivi d’un deuxième correctif le 12 février. Cependant, le correctif du deuxième bogue a dû être ajusté et un correctif complet n’a été publié que le 17 février.

Les deux vulnérabilités ont été mises à jour dans la version 3.0.4. Par conséquent, il est recommandé aux webmasters de mettre à jour la dernière version disponible du plugin qui est actuellement la 3.0.5.

ZDNet a demandé un commentaire à Facebook et nous le mettrons à jour dès que nous entendrons quelque chose.

Couverture précédente et connexe


Avez-vous un conseil? Reprenez WhatsApp | contact sécurisé sur signal au +447713025499 ou supérieur à Keybase: charlie0




Source link

Recent Posts