Wordfence的研究人员在Facebook for WordPress插件中发现了两个漏洞,该漏洞有超过500,000次有效安装。该插件使管理员可以捕获人们在与页面交互时所执行的操作,例如Lead、ViewContent、AddToCart、InitiateCheckout和Purchase事件。
“2020年12月22日,我们的威胁情报团队负责地披露了Facebook for WordPress的一个漏洞,该漏洞以前被称为Official Facebook Pixel,这是一个安装在500,000多个站点上的WordPress插件。”WordFence发布的帖子上如此写道,“此缺陷使未经身份验证的攻击者可以访问站点的加密salt值和密钥,从而通过反序列化漏洞实现远程代码执行。”
这个漏洞被描述为带有POP链的PHP对象注入,未经身份验证的攻击者可能会利用此漏洞来访问站点的机密和密钥,并利用反序列化漏洞来实现远程代码执行。
攻击者只能使用有效的nonce来利用此问题,因为handle_postback函数需要有效的随机数。
“PHP对象注入漏洞的核心是在run_action()函数中,此函数旨在从event_data POST变量中反序列化用户数据,以便将数据发送到pixel控制台。不幸的是,该event_data可能是由用户提供。”帖子中继续写道,“当用户提供的输入在PHP中反序列化时,用户可以提供PHP对象,这些对象可以触发魔术方法并执行可用于恶意目的的操作。”
专家指出,即使反序列化漏洞与gadget或魔术方法结合使用时可能相对无害,也它也会对站点造成重大破坏,因为将Facebook for WordPress中的漏洞可以与魔术方法结合使用,上传任意文件并执行远程代码。
“这意味着攻击者可以在易受攻击的站点的主目录中生成包含内容的PHP文件new.php。PHP文件的内容可以任意更改,例如更改为允许攻击者实现远程代码执行。”Wordfence说道。
该漏洞被评为严重危险程度,其CVSS评分为9分(满分10分)。
专家于12月22日向该社交网络巨头报告了该漏洞,于1月6日修复了该漏洞,并发布了新版本。
Facebook修复了该漏洞之后,安全研究人员在更新的插件中发现了“跨站点请求伪造到存储的跨站点脚本”漏洞。该漏洞被评为高度危险程度,其CVSS评分为8.8。该漏洞已于1月27日报告给Facebook,并于2021年2月26日得到解决。
“他们在更新插件时所做的一项更改解决了保存插件设置背后的功能问题,这被转换为AJAX操作,以使集成过程更加无缝。新版本引入了与saveFbeSettings函数关联的wp_ajax_save_fbe_settings AJAX操作。”“此函数用于通过Facebook Pixel ID、访问令牌和外部业务密钥更新插件的设置。这些设置有助于与Facebook pixel控制台建立连接,以便可以将事件数据从WordPress网站发送到相应的Facebook pixel帐户。”
攻击者可以利用此问题来更新插件的设置并窃取网站的指标数据,还可以将恶意JavaScript代码注入到设置值中。
然后,这些值将反映在“设置”页面上,从而使代码在访问设置页面时在站点管理员的浏览器中执行。专家发现,这些代码可能被用来向主题文件中注入恶意后门,或者创建新的管理用户帐户,从而接管网站。
本文翻译自:https://securityaffairs.co/wordpress/116063/social-networks/facebook-wordpress-plugin-attacks.html如若转载,请注明原文地址。