Facebook for WordPress插件中已修补了两个严重漏洞。
Wordfence威胁情报小组披露WordPress的Facebook,以前称为官方Facebook Pixel.
该插件,用于捕获用户访问页面时的操作并监控网站流量,已安装在超过500000个网站上。
12月22日,网络安全研究人员私下向供应商披露了一个严重漏洞,该漏洞的CVSS严重性得分为9。该漏洞被描述为PHP对象注入,是在软件的run\u action()函数中发现的。
如果生成了有效的nonce(例如通过使用自定义脚本),攻击者就可以为插件提供用于恶意目的的PHP对象,甚至可以将文件上载到易受攻击的网站并实现远程代码执行(RCE)。
“这个漏洞使得未经身份验证的攻击者能够通过反序列化漏洞访问站点的秘密密码和密钥,从而实现远程代码执行,”该团队说。
第二个被认为非常重要的漏洞于1月27日被发现。跨站点请求伪造安全漏洞导致跨站点脚本问题,是在插件重新命名时意外引入的。
更新软件时,引入了AJAX功能以简化插件集成。但是,函数中的权限检查问题为攻击者创建可执行的请求开辟了一条途径,“如果攻击者能够在对目标站点进行身份验证时诱使管理员执行操作,“根据Wordfence的说法,
“攻击者可以利用该操作更新插件的设置,指向自己的Facebook像素控制台,窃取网站的度量数据,”研究小组说更糟糕的是,由于没有对存储的设置进行清理,攻击者可以将恶意JavaScript注入到设置值中,用于在主题中创建后门或创建新的管理员帐户以劫持整个网站。
这些报告已被Facebook的安全团队接受,并于1月6日发布了第一个漏洞的修补程序,随后于2月12日发布了第二个修补程序。然而,第二个bug的补丁需要调整,完整的修复直到2月17日才发布。
这两个漏洞都已在3.0.4版中更新,因此建议网站管理员更新到插件的最新版本,即当前的3.0.5版。
ZDNet已联系Facebook征求意见,我们将在收到回复后更新。
