Deux vulnérabilités ont été corrigées dans le plugin Facebook pour WordPress. Les exploits pourraient permettre à un attaquant malveillant d’installer des portes dérobées, de créer des comptes de niveau administrateur et d’organiser une prise de contrôle complète du site.
Facebook pour WordPress Exploit
Le plugin Facebook pour WordPress, installé sur plus de 500 000 sites Web, est un plugin de suivi des visiteurs du site pour les annonceurs qui utilisent des publicités Facebook. Il permet aux annonceurs de suivre le parcours des visiteurs et d’optimiser leurs campagnes publicitaires.
L’un des exploits a été découvert en décembre 2020. L’autre faille a été introduite en janvier 2021 dans le cadre d’un changement de marque et d’une mise à jour du code du plugin.
Publicité
Continuer la lecture ci-dessous
Vulnérabilité d’injection d’objets PHP
Ce type d’exploit dépend d’une faille qui nettoie de manière inadéquate les téléchargements, ce qui permet à son tour à un attaquant de réaliser diverses attaques telles que l’injection de code.
Dans cette attaque spécifique, un pirate pourrait utiliser le plugin compromis pour télécharger un fichier et procéder à une exécution de code à distance.
Les particularités de cette vulnérabilité pourraient également permettre à l’attaquant de profiter d’autres plugins contenant la vulnérabilité.
Selon Wordfence:
«Cela signifiait qu’un attaquant pouvait générer un fichier PHP new.php dans le répertoire personnel d’un site vulnérable… Le contenu du fichier PHP pouvait être changé en n’importe quoi… ce qui permettrait à un attaquant d’exécuter du code à distance.
Notez que la présence d’une chaîne POP complète signifiait également que tout autre plugin avec une vulnérabilité d’injection d’objet, y compris ceux qui ne nécessitaient pas de connaissance des sels et des clés du site, pourrait potentiellement être utilisé pour réaliser également l’exécution de code à distance s’il était installé. sur un site avec le plugin Facebook pour WordPress. »
Publicité
Continuer la lecture ci-dessous
Falsification de requêtes intersites
Un exploit de falsification de demande intersite est un type qui nécessite qu’une victime avec des informations d’identification de niveau administrateur sur un site WordPress pour effectuer une action (comme cliquer sur un lien) qui conduirait alors à une attaque qui tire parti des informations d’identification de haut niveau de l’administrateur.
Un attaquant pourrait accéder à des données de métriques privées ou organiser une prise de contrôle complète du site.
Wordfence le décrit comme ceci:
«L’action pourrait être utilisée par un attaquant pour mettre à jour les paramètres du plugin pour pointer vers sa propre console Facebook Pixel et voler des données métriques pour un site.
Pire encore, comme il n’y avait pas de nettoyage des paramètres stockés, un attaquant pouvait injecter du JavaScript malveillant dans les valeurs de paramètre.
Ces valeurs seraient ensuite reflétées sur la page des paramètres, provoquant l’exécution du code dans le navigateur d’un administrateur de site lors de l’accès à la page des paramètres.
En fin de compte, ce code pourrait être utilisé pour injecter des portes dérobées malveillantes dans des fichiers de thème ou créer de nouveaux comptes d’utilisateurs administratifs pouvant être utilisés pour la prise de contrôle complète du site.
Mise à jour recommandée
Il est recommandé à tous les utilisateurs de mettre immédiatement à jour leur plugin vers la dernière version (actuellement la version 3.0.5). La version 3.0.4 de Facebook pour WordPress est entièrement mise à jour, mais la version 3.0.5 est la version la plus à jour du plugin.
Citations
Deux vulnérabilités corrigées dans Facebook pour le plugin WordPress
Journal des modifications Facebook pour WordPress