Deux vulnérabilités ont été corrigées dans le plugin Facebook pour WordPress. Les exploits pourraient permettre à un attaquant malveillant d’installer des portes dérobées, de créer des comptes de niveau administrateur et d’effectuer une prise de contrôle complète du site.

Exploit Facebook pour WordPress

Installé sur plus de 500 000 sites Web, le plugin Facebook pour WordPress est un plugin de suivi des visiteurs de sites Web pour les annonceurs utilisant des publicités Facebook. Cela permet aux annonceurs de suivre le parcours des visiteurs et d’optimiser leurs campagnes publicitaires.

La publicité

Lisez ci-dessous

L’un des exploits a été découvert en décembre 2020. L’autre bogue a été introduit en janvier 2021 dans le cadre d’un changement de marque et d’une mise à jour du code du plugin.

Vulnérabilité d’injection d’objets PHP

Ce type d’exploit dépend d’un bogue qui nettoie mal les téléchargements, permettant à un attaquant de mener une grande variété d’attaques, telles que: B. Injection de code.

Dans cette attaque particulière, un pirate pourrait utiliser le plug-in compromis pour télécharger un fichier et procéder à une exécution de code à distance.

Les détails de cette vulnérabilité pourraient également permettre à l’attaquant d’exploiter d’autres plug-ins contenant la vulnérabilité.

Selon Wordfence:

La publicité

Lisez ci-dessous

«Cela signifiait qu’un attaquant pouvait générer un fichier PHP new.php dans le répertoire personnel d’un site vulnérable. Le contenu du fichier PHP pourrait être changé en tout ce qui permettrait à un attaquant de réaliser l’exécution de code à distance.

Notez que le fait d’avoir une chaîne POP complète signifie également que tout autre plugin avec une vulnérabilité d’injection d’objet, y compris ceux qui ne nécessitent pas de connaissance des sels et des clés du site, pourrait également être utilisé pour exécuter du code distant s’il était installé sur une page avec le plugin Facebook pour WordPress. « 

Falsification des demandes de renseignements croisés

Un exploit de falsification de demande intersite est un type qui nécessite qu’une victime avec des informations d’identification de niveau administrateur pour qu’un site WordPress entreprenne une action (telle que cliquer sur un lien), ce qui entraîne une attaque dont les informations d’identification sont définies sur Niveau élevé de l’administrateur.

Un attaquant pourrait accéder à des métriques privées ou effectuer une prise de contrôle complète du site.

Wordfence le décrit de cette façon:

«L’action pourrait être utilisée par un attaquant pour mettre à jour les paramètres du plugin pour pointer vers sa propre console Facebook Pixel et voler des métriques pour un site.

Pire encore, étant donné que les paramètres enregistrés n’ont pas été nettoyés, un attaquant pourrait insérer du JavaScript malveillant dans les valeurs des paramètres.

Ces valeurs sont ensuite affichées sur la page des paramètres afin que le code puisse s’exécuter dans le navigateur d’un administrateur de site lors de l’accès à la page des paramètres.

En fin de compte, ce code pourrait être utilisé pour ajouter des portes dérobées malveillantes dans les fichiers de rubrique ou créer de nouveaux comptes d’utilisateurs administratifs qui pourraient être utilisés pour prendre le contrôle total du site. « 

La publicité

Lisez ci-dessous

Mise à jour recommandée

Il est recommandé que tous les utilisateurs mettent immédiatement à jour leur plugin vers la dernière version (actuellement la version 3.0.5). La version 3.0.4 de Facebook pour WordPress est entièrement corrigée, mais la version 3.0.5 est la version la plus récente du plugin.

Devis

Correction de deux failles de sécurité dans Facebook pour le plugin WordPress

Journal des modifications Facebook pour WordPress





Source link

Recent Posts