Wordfence研究人员在Facebook的WordPress插件中发现了两个漏洞,该插件的活跃安装量超过500,000。该插件使管理员能够捕获人们在与页面交互时执行的操作,例如Lead、ViewContent、AddToCart、InitiateCheckout和Purchase事件。“2020年12月22日,我们的威胁情报团队负责任地披露了Facebook中针对WordPress的漏洞,该漏洞以前称为OfficialFacebookPixel,这是一个安装在超过500,000个网站上的WordPress插件。”WordFence“这个缺陷允许未经身份验证的攻击者访问站点的加密盐值和密钥,从而通过反序列化漏洞实现远程代码执行,”已发布的帖子中写道。该漏洞被描述为具有POPChainedPHP对象注入,未经身份验证的攻击者可以利用该漏洞获取站点机密和密钥,并利用反序列化漏洞实现远程代码执行。攻击者只能使用有效的随机数来利用此问题,因为handle_postback函数需要有效的随机数。“PHP对象注入漏洞的核心在于run_action()函数,该函数旨在反序列化event_dataPOST变量中的用户数据,以便将数据发送到像素控制台。不幸的是,event_data可能由用户”该帖子继续说道,“当用户提供的输入在PHP中被反序列化时,用户可以提供可以触发魔术方法并执行可用于恶意目的的操作的PHP对象。”专家指出,即使是反序列化,虽然该漏洞在与小工具或魔术方法结合使用时可能相对无害,但它也可能对网站造成严重破坏,因为Facebook中针对WordPress的漏洞可以与魔术方法结合使用以上传任意文件和执行远程代码。“这意味着攻击者可以生成一个PHP文件new.php,其内容位于易受攻击站点的主目录中。PHP文件的内容可以任意更改,例如允许攻击者实现远程代码执行,”Wordfence说。该漏洞被评为严重漏洞,CVSS评分为9分(满分10分)。专家于12月22日向社交网络巨头报告了该漏洞,并于1月6日修复并发布了新版本。Facebook修复该漏洞后,安全研究人员在更新的插件中发现了“对存储的跨站点脚本的跨站点请求伪造”漏洞。该漏洞被评为高严重性,CVSS评分为8.8。该漏洞于1月27日报告给Facebook,并于2021年2月26日得到解决。“他们在更新插件时所做的一项更改解决了保存插件设置背后的功能,该功能已转换为AJAX操作,以使集成过程更加无缝。新版本引入了与saveFbeSettings函数关联的wp_ajax_save_fbe_settingsAJAX操作。“”此函数用于通过FacebookPixelID、AccessToken和ExternalBusinessKey更新插件的设置。这些设置有助于与Facebook像素控制台建立连接,因此该事件数据可以从WordPress站点发送到相应的Facebook像素帐户。”攻击者可以利用此问题更新插件的设置并窃取网站指标,以及将恶意JavaScript代码注入设置值。然后这些值将反映在设置页面上,导致代码在访问设置页面时在站点管理员的浏览器中执行。专家发现,该代码可用于将恶意后门注入主题文件,或创建新的管理用户帐户,从而接管网站。本文翻译自:https://securityaffairs.co/wordpress/116063/social-networks/facebook-wordpress-plugin-attacks.html如有转载请注明出处。
