Das Threat-Intelligence-Team von Wordfence entdeckte zwei Schwachstellen im Facebook-WordPress-Plugin, die, wenn sie nicht überprüft werden, von einem Angreifer ausgenutzt werden könnten, um Code aus der Ferne auszuführen oder bösartiges JavaScript in die Konfiguration des Plugins einzuschleusen. Facebook für WordPress ist ein Plugin, das entwickelt wurde, um eine nahtlose Integration zwischen dem Facebook-Pixel-Conversion-Messtool und einer WordPress-Site zu schaffen. Nach der Installation überwacht das Plugin den Site-Verkehr und zeichnet Daten auf, wenn Benutzer zu Seiten navigieren und bestimmte Aktionen auf einer Site ausführen. Der erste von Wordfence entdeckte Fehler könnte von nicht authentifizierten Angreifern mit Zugriff auf die Salts und geheimen Schlüssel einer Site genutzt werden, um dank einer Deserialisierungsschwäche eine Remotecodeausführung durchzuführen. Das Unternehmen hat die Sicherheitslücke Ende letzten Jahres verantwortungsvoll gegenüber Facebook offengelegt und sie wurde nun gepatcht.
Facebook für WordPress
Der zweite vom Threat Intelligence-Team von Wordfence in Facebook für WordPress entdeckte Fehler wurde eingeführt, als das Plugin mit der Veröffentlichung von Version 3.0.0 umbenannt wurde. Bei Ausnutzung dieser Schwachstelle könnte es Angreifern möglich sein, bösartiges JavaScript in die Plugin-Konfiguration einzuschleusen, wenn es einem Angreifer gelingt, einen WordPress-Administrator erfolgreich dazu zu verleiten, eine Aktion wie das Klicken auf einen Link auszuführen. Wordfence kontaktierte das Sicherheitsteam von Facebook Ende Januar dieses Jahres, um es über die zweite Sicherheitslücke zu informieren. Die beiden Facebook-Schwachstellen für WordPress müssen sofort behoben werden, da die PHP-Object-Injection-Schwachstelle einen CVSS-Score von 9,0 hat und als kritisch gilt, während die Cross-Site-Request-Manipulation einen CVSS-Score von 8,8 hat und als hoch gilt. Version 3.0.5 des Facebook-Plugins für WordPress ist jetzt verfügbar und die neueste Version des Plugins enthält Korrekturen, die beide Schwachstellen beheben.