Facebook a corrigé deux vulnérabilités critiques dans son plugin WordPress populaire qui auraient pu être exploitées pour permettre la prise de contrôle complète du site, selon Wordfence.
La société de sécurité a révélé hier qu’elle avait divulgué les bogues au réseau social le 22 décembre de l’année dernière et le 27 janvier 2021. Des correctifs pour chacun ont été publiés le 6 janvier et le 7 février 2021, respectivement.
Les vulnérabilités ont affecté le plugin anciennement connu sous le nom de Pixel Facebook officiel, qui serait installé sur environ un demi-million de sites dans le monde. Le logiciel est conçu pour intégrer l’outil de mesure de conversion de pixels de Facebook aux sites WordPress afin de pouvoir surveiller le trafic et enregistrer des actions spécifiques des utilisateurs.
Le premier bogue est une vulnérabilité d’injection d’objets PHP avec un score CVSS de 9.
«Le cœur de la vulnérabilité PHP Object Injection était dans la fonction run_action (). a expliqué Chloe Chamberland, analyste des menaces pour Wordfence.
«Malheureusement, cette event_data pourrait être fournie par un utilisateur. Lorsque l’entrée fournie par l’utilisateur est désérialisée en PHP, les utilisateurs peuvent fournir des objets PHP qui peuvent déclencher des méthodes magiques et exécuter des actions pouvant être utilisées à des fins malveillantes. »
Le deuxième CVE était une falsification de demande intersite avec un score CVSS de 8,8.
Il a été introduit par accident lorsque les développeurs ont mis à jour le plugin vers la version 3.0 et concerne une fonction AJAX qui a été ajoutée pour faciliter l’intégration du logiciel dans les sites WordPress.
«Il y avait une vérification des autorisations sur cette fonction, empêchant les utilisateurs inférieurs aux administrateurs de pouvoir y accéder, cependant, il n’y avait pas de protection nonce. Cela signifiait qu’il n’y avait aucune vérification qu’une demande provenait d’une session administrateur authentifié légitime », a expliqué Chamberland.
« Cela a permis aux attaquants de créer une requête qui serait exécutée s’ils pouvaient inciter un administrateur à effectuer une action alors qu’il était authentifié sur le site cible. »
La vulnérabilité aurait pu être exploitée pour mettre à jour les paramètres du plugin, voler des données métriques et injecter des portes dérobées malveillantes dans des fichiers de thème ou créer de nouveaux comptes d’utilisateurs administratifs pour détourner complètement un site, a-t-elle ajouté.
Les utilisateurs sont invités à passer à la dernière version de Facebook pour WordPress (3.0.5).