Vulnerabilidades graves en el plugin Facebook para WordPress

El equipo de Wordfence Threat Intelligence ha indicado errores que impactan en «Facebook para WordPress», anteriormente conocido como «Official Facebook Pixel», dicho complemento es usado para obtener las acciones realizadas por los usuarios y monitorear el trafico.La vulnerabilidad tiene un puntaje de 9 en CVSS.

El problema radica en la función «run_action()» debido que se puede realizar un «PHP Object Injection» lo que permitiría al atacante subir un archivo a la plataforma para realizar la ejecución de códigos con fines maliciosos.

This flaw made it possible for unauthenticated attackers with access to a site’s secret salts and keys to achieve remote code execution through a deserialization weakness

www.wordfence.com

La segunda falla de tipo CSRF (falsificación de peticiones entre sitios) afecta al servicio de comprobación de credenciales del usuarios que realizan las peticiones. Para llevar a cabo la ejecución del ataque es necesario aplicar ingeniería social en un administrador para que acceda a una página maliciosa que generaría acciones bajo las credenciales de la «víctima». En casos extremos, podría terminar con la creación de usuarios en la página con accesos completos.

Se recomienda actualizar el servicio del complemento a la versión 3.0.5.

Más información: