Эксперты компании Wordfence Threat Intelligence обнаружили на две критические уязвимости в плагине Facebook для WordPress, который раньше был известен под названием Official Facebook Pixel.
Плагин применяется для отслеживания действий пользователей при посещении сайта и отслеживания посещаемости ресурса. Общее количество его установок на сайтах WordPress – около 500 тыс.
Специалисты по кибербезопасности рассказали разработчику плагина о критической уязвимости с оценкой CVSS 9. Уязвимость описывается в качестве внедрения объекта PHP. Она была найдена в функции run_action (). При генерации действительного одноразового номера (к примеру, с использованием пользовательского сценария) киберпреступники могли предоставить подключаемому модулю объекты PHP для вредоносных целей, после чего загрузить вредоносные файлы на уязвимый сайт и добиться удаленного выполнения кода (RCE).
«Найденная уязвимость позволяла неаутентифицированным хакерами, которые имели доступ к ключам сайта, удаленно выполнять код за счет наличия уязвимости десериализации», – отмечают специалисты Wordfence Threat Intelligence.
Вторая найденная уязвимость, также признанная критической, представляет собой недостаточную защиту от подделки межсайтовых запросов, что приводит к проблеме межсайтового скриптинга. Ошибка при проверке разрешений предоставила киберпреступникам возможность формировать запросы, которые могли быть выполнены в тех случаях, если «злоумышленники обманом заставляли администратора сайта выполнить определенные действия при аутентификации на целевом веб-ресурсе».
Отчеты об уязвимостях плагина Facebook для WordPress были приняты командой безопасности социальной сети. Все исправления были оперативно выпущены для устранения всех обнаруженных недостатков. Пользователям, на чьих сайтах установлен плагин, рекомендуется обновить его до версии 3.0.5.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ