L’équipe Wordfence a découvert deux vulnérabilités critiques dans Facebook pour le plugin WordPress, qui, si elles sont exploitées, peuvent conduire un attaquant à injecter du code malveillant dans le site. Comme indiqué, l’exploitation de ces vulnérabilités nécessite un accès équitable et peut éventuellement conduire à la prise de contrôle du site. Les auteurs du plug-in ont publié une version mise à jour pour les patcher.
Vulnérabilité du plug-in WordPress
L’équipe Threat Intelligence de Wordfence a découvert deux vulnérabilités dans un plug-in WordPress, qui pourraient affecter plus d’un demi-million de sites maintenant. Le plugin concerné est Facebook pour WordPress, réalisé par Facebook.
Ce plug-in est un outil de mesure de conversion, où s’il est installé, il connectera le pixel Facebook au site WordPress et enregistrera les métriques d’engagement des visiteurs. Cela peut aider les spécialistes du marketing à connaître le succès de leur campagne et à agir en conséquence plus tard.
Et comme l’équipe de Wordfence l’a signalé, une première vulnérabilité d’injection d’objets PHP a été découverte et signalée à Facebook en décembre de l’année dernière, ce qui pourrait avoir des utilisateurs non authentifiés ayant accès aux sels et clés secrets d’un site pour effectuer une attaque RCE. Il est noté 9,0 sur l’échelle de gravité de la vulnérabilité et dispose désormais d’un correctif.
L’équipe Wordfence a également trouvé une autre vulnérabilité dans le même plug-in, qui est signalée en janvier de cette année. La vulnérabilité Cross-Site Request Forgery permettra à un attaquant d’injecter un code JavaScript dans les paramètres du site en incitant l’administrateur à cliquer sur un lien ou une action similaire.
Leur exploitation combinée peut également permettre à l’attaquant de tirer parti d’autres vulnérabilités disponibles sur les plug-ins coexistants sur le même site. La deuxième vulnérabilité est notée 8,8 sur une échelle de gravité et reçoit un correctif.
Facebook a publié la version 3.0.5 du plugin Facebook pour WordPress, qui contient désormais des correctifs pour les deux vulnérabilités mentionnées ci-dessus. Ainsi, les utilisateurs sont invités à mettre à jour leurs plugins immédiatement.