- Facebook pour WordPress Exploit
- Vulnérabilité d’injection d’objets PHP
- Falsification de requêtes intersites
- Mise à jour recommandée
- Citations
Deux vulnérabilités ont été corrigées dans le plugin Facebook pour WordPress. Les exploits pourraient permettre à un attaquant malveillant d’installer des portes dérobées, de créer des comptes de niveau administrateur et d’organiser une prise de contrôle complète du site.
Facebook pour WordPress Exploit
Le plugin Facebook pour WordPress, installé sur plus de 500 000 sites Web, est un plugin de suivi des visiteurs du site pour les annonceurs qui utilisent des publicités Facebook. Il permet aux annonceurs de suivre le parcours des visiteurs et d’optimiser leurs campagnes publicitaires.L’un des exploits a été découvert en décembre 2020. L’autre faille a été introduite en janvier 2021 dans le cadre d’un changement de marque et d’une mise à jour du code du plugin.
Vulnérabilité d’injection d’objets PHP
Ce type d’exploit dépend d’une faille qui ne nettoie pas correctement les téléchargements, ce qui permet à un attaquant d’effectuer diverses attaques telles que l’injection de code.Dans cette attaque spécifique, un pirate pourrait utiliser le plugin compromis pour télécharger un fichier et procéder à un code distant. Les particularités de cette vulnérabilité pourraient également permettre à l’attaquant de profiter d’autres plugins contenant la vulnérabilité.Selon Wordfence :«Cela signifiait qu’un attaquant pouvait générer un fichier PHP new.php dans le répertoire personnel d’un site vulnérable… Le contenu du fichier PHP pouvait être changé en n’importe quoi… ce qui permettrait à un attaquant d’exécuter du code à distance. Notez que la présence d’un POP complet chaîne signifiait également que tout autre plugin avec une vulnérabilité d’injection d’objets, y compris ceux qui ne nécessitaient pas de connaissance des sels et des clés du site, pourrait potentiellement être utilisé pour réaliser l’exécution de code à distance également s’il était installé sur un site avec Facebook pour WordPress plugin. »
Falsification de requêtes intersites
Un exploit de falsification de requête intersite est un type qui oblige une victime avec des informations d’identification de niveau administrateur à un site WordPress pour effectuer une action (comme cliquer sur un lien) qui conduirait alors à une attaque qui tire parti des informations d’identification de haut niveau de l’administrateur. l’attaquant pourrait accéder aux données de métriques privées ou organiser une prise de contrôle complète du site.Wordfence le décrit comme ceci : »L’action pourrait être utilisée par un attaquant pour mettre à jour les paramètres du plugin pour pointer vers sa propre console Facebook Pixel et voler des données métriques pour un site. Pire encore, comme il n’y avait pas de désinfection sur les paramètres qui ont été stockés, un attaquant pourrait injecter des logiciels malveillants. JavaScript dans les valeurs de paramètres.Ces valeurs seraient ensuite reflétées sur la page de paramètres, provoquant l’exécution du code dans le navigateur d’un administrateur de site lors de l’accès à la page de paramètres.En fin de compte, ce code pourrait être utilisé pour injecter des portes dérobées malveillantes dans des fichiers de thème ou créer de nouvelles comptes d’utilisateurs administratifs pouvant être utilisés pour la prise de contrôle complète du site. »
Mise à jour recommandée
Il est recommandé à tous les utilisateurs de mettre immédiatement à jour leur plugin vers la dernière version (actuellement la version 3.0.5). La version 3.0.4 de Facebook pour WordPress est entièrement mise à jour, mais la version 3.0.5 est la version la plus à jour du plugin.
Citations
Deux vulnérabilités corrigées dans Facebook pour le plugin WordPressFacebook pour WordPress Changelog