Срочно. В плагине Facebook для WordPress исправлены серьёзные уязвимости

В плагине Facebook для WordPress исправлены серьёзные уязвимости. Фото: Pixabay

Плагин, который используется для отслеживания действий пользователей при посещении страницы и отслеживания посещаемости сайта, был установлен на более чем 500 тыс. веб-сайтов, сообщает ZDNet.

22 декабря исследователи кибербезопасности в частном порядке раскрыли поставщику критическую уязвимость, которой была присвоена оценка серьёзности CVSS 9. Уязвимость, описанная как внедрение объекта PHP, была обнаружена в функции run_action программного обеспечения.

При определённом сценарии злоумышленник может предоставить подключаемому модулю объекты PHP для вредоносных целей и загрузить собственные файлы на уязвимый веб-сайт. Таким образом можно добиться удалённого выполнения кода (RCE ).

«Этот недостаток позволил неаутентифицированным злоумышленникам, имеющим доступ к секретным солям и ключам сайта, добиться удалённого выполнения кода за счёт уязвимости десериализации», — заявляет команда. 

Вторая уязвимость, считающаяся очень важной, была обнаружена 27 января. Недостаток защиты от подделки межсайтовых запросов, который приводит к проблеме межсайтового скриптинга, был обнаружен случайно при ребрендинге плагина. 

Когда программное обеспечение было обновлено, была введена функция AJAX, чтобы упростить интеграцию плагинов. Однако проблема проверки разрешений в функции открыла злоумышленникам возможность создавать запросы, которые могли быть выполнены, «если бы они могли обманом заставить администратора выполнить действие при аутентификации на целевом сайте», сообщает представитель Wordfence.

«Действие может быть использовано для обновления настроек плагина, чтобы он указывал на его собственную консоль Facebook Pixel и украл данные метрик для сайта. —заявляет команда. — Что ещё хуже, поскольку не было никакой очистки сохранённых настроек, злоумышленник мог внедрить вредоносный JavaScript в значения настроек».

Вредоносный JavaScript может, например, использоваться для создания бэкдоров в темах или создания новых учётных записей администратора для взлома целых веб-сайтов. 

Отчёты были приняты командой безопасности Facebook. Обе уязвимости были обновлены в версии 3.0.4, поэтому веб-мастерам рекомендуется обновить доступную версию плагина до последней версии 3.0.5.