Δύο κρίσιμα κενά ασφαλείας που επηρεάζουν το δημοφιλές plugin «Facebook for WordPress» μπορούν να επιτρέψουν σε κακόβουλους χρήστες να αποκτήσουν τον πλήρη έλεγχο των ευάλωτων ιστοσελίδων.
Πιο αναλυτικά, οι ευπάθειες, οι οποίες επιδιορθώθηκαν στη νεότερη έκδοση του πρόσθετου, επιτρέπουν στους επιτιθέμενους χρήστες να εγκαταστήσουν backdoors, να δημιουργήσουν νέους χρήστες με δικαιώματα διαχειριστή και να αποκτήσουν τον πλήρη έλεγχο μίας ιστοσελίδας.
Το «Facebook for WordPress», ένα plugin που είναι εγκατεστημένο σε περισσότερες από 500.000 ιστοσελίδες παγκοσμίως, επιτρέπει στους ιδιοκτήτες των ιστοσελίδων που αξιοποιούν τις διαφημίσεις του Facebook να παρακολουθούν το «ταξίδι των επισκεπτών» και να βελτιώνουν τις διαφημιστικές τους καμπάνιες.
Ένα από τα exploits τα οποία επιδιορθώθηκαν ανακαλύφθηκε τον Δεκέμβριο του 2020 ενώ η δεύτερη ευπάθεια έγινε γνωστή τον Ιανουάριο του επόμενου έτους με την τότε αναβάθμιση του πρόσθετου.
Το πρώτο κενό ασφαλείας (PHP Object Injection Vulnerability) ένας hacker θα μπορούσε να χρησιμοποιήσει το ευάλωτο plugin για να μεταφορτώσει στον σέρβερ αρχείο της επιλογής του και να προχωρήσει με απομακρυσμένη εκτέλεση κώδικα (remote code execution).
Επιπρόσθετα, ένας hacker θα μπορούσε να εκμεταλλευθεί και άλλα πρόσθετα με την συγκεκριμένη ευπάθεια.
Το δεύτερο κενό ασφαλείας (Cross-Site Request Forgery) μπορεί να επιτρέψει σε έναν επιτιθέμενο χρήστη να αποκτήσει πρόσβαση σε συγκεκριμένα δεδομένα ή να αποκτήσει τον πλήρη έλεγχο της ευάλωτης ιστοσελίδας.
Για παράδειγμα, ένας hacker θα μπορούσε να «πειράξει» τις ρυθμίσεις του plugin με σκοπό να αυτές να οδηγούν σε δικό του Facebook Pixel και να υποκλέψει τα δεδομένα (metric data) του site.
Ακόμη χειρότερα, ο επιτιθέμενος χρήστης θα μπορούσε να εισάγει κακόβουλο JavaScript κώδικα στα πεδία των ρυθμίσεων, κίνηση η οποία υπό προϋποθέσεις θα μπορούσε να του επιτρέψει την δημιουργία ενός νέου χρήστη με δικαιώματα διαχειριστή.
Όπως κάθε φορά, συνιστούμε σε όλους τους ιδιοκτήτες ιστοσελίδων να αναβαθμίσουν άμεσα το plugin στην τελευταία διαθέσιμη έκδοση (3.0.5).
