Wordfence的分析员工在Facebook for WordPress插件中看到了2个漏洞,该漏洞有超出500,000次合理安裝。该插件使管理员可以捕获大家在与网页页面交互时所实行的实际操作,例如Lead、ViewContent、AddToCart、InitiateCheckout和Purchase事情。
“2020年12月22日,大家的威胁情报精英团队承担地公布了Facebook for WordPress的一个漏洞,该漏洞之前被称作Official Facebook Pixel,这是一个安裝在500,000好几个网站上的WordPress插件。”WordFence公布的贴子上如此写到,“此缺点使没经身份认证的网络攻击可以浏览网站的数据加密salt值和密匙,进而根据反序列化漏洞完成远程控制执行命令。”
这一漏洞被表述为含有POP链的PHP目标引入,没经身份认证的网络攻击很有可能会运用此漏洞来浏览网站的商业秘密和密匙,并运用反序列化漏洞来完成远程控制执行命令。
网络攻击只有应用合理的nonce来使用此问题,由于handle_postback函数公式必须合理的随机数字。
“PHP目标引入漏洞的关键是在run_action()函数公式中,此函数致力于从event_data POST自变量中反序列化客户数据信息,便于将信息发送至pixel控制面板。遗憾的是,该event_data可能是由客户给予。”贴子中再次写到,“当客户带来的键入在PHP中反序列化时,客户可以给予PHP目标,这种目标可以开启魔术师方式并实行可用以故意目地的实际操作。”
权威专家强调,即使反序列化漏洞与gadget或魔术师方式相结合应用时很有可能相对性没害,也它也会对网站导致重要毁坏,由于将Facebook for WordPress中的漏洞可以与魔术师方式相结合应用,提交随意文档并实行远程控制编码。
“这代表着网络攻击可以在易受攻击的站名的主目录中转化成包括內容的PHP文件new.php。PHP文件的主要内容可以随意变更,例如更改成容许网络攻击完成远程控制执行命令。”Wordfence讲到。
该漏洞被评选为比较严重风险水平,其CVSS得分为9分(100分10分)。
权威专家于12月22日向该社交媒体大佬汇报了该漏洞,于1月6日修补了该漏洞,并公布了最新版本。
Facebook修补了该漏洞以后,安全性科研员工在刷新的插件中看到了“跨网站要求仿冒到储存的跨网站脚本制作”漏洞。该漏洞被评选为相对高度风险水平,其CVSS得分为8.8。该漏洞已于1月27日汇报给Facebook,并于2021年2月26日获得处理。
“她们在升级插件时所做的一项变更解决了储存插件设定身后的作用问题,这被变换为AJAX实际操作,以使集成化全过程更为无缝拼接。最新版本引进了与saveFbeSettings函数关系的wp_ajax_save_fbe_settings AJAX实际操作。”“此函数公式用以根据Facebook Pixel ID、浏览动态口令和外界业务流程密匙升级插件的设定。这种设定有利于与Facebook pixel控制面板创建联接,便于可以将事情数据信息从WordPress网站发送至对应的Facebook pixel账号。”
网络攻击可以运用此问题来升级插件的设定并盗取网址的指标值数据信息,还能够将故意JavaScript编码引入到设定值中。
随后,这种值将体现在“设定”网页页面上,进而使编码在浏览设定网页页面时在网站管理员的网页中实行。权威专家发觉,这种编码很有可能被用于向主题风格文档中引入故意侧门,或是建立新的管理方法客户账号,进而接手网址。
文中翻譯自:https://securityaffairs.co/wordpress/116063/social-networks/facebook-wordpress-plugin-attacks.html倘若转截,请标明全文详细地址。