Zo'n 250.000 WordPress-sites zijn kwetsbaar voor aanvallen door een beveiligingslek in de plug-in "Facebook for WordPress". Deze plug-in stond eerder nog bekend als Official Facebook Pixel en installeert de Facebook-pixel op WordPress-sites. Beheerders kunnen door middel van de pixel acties van hun bezoekers op de website volgen.

Onderzoekers van securitybedrijf Wordfence ontdekten dat het mogelijk is voor een aanvaller om een PHP-object naar de pixel-console te sturen waarmee bepaalde acties zijn uit te voeren. Eén van deze acties betreft het uploaden van willekeurige bestanden waardoor remote code execution mogelijk wordt.

Om de aanval uit te voeren moet een aanvaller wel toegang tot de salts en keys van de website hebben. Deze informatie gebruikt WordPress voor het beveiligen van informatie in de cookies die worden gebruikt om gebruikers in te loggen. Het verkrijgen van deze informatie zou kunnen door middel van SQL-injection, path traversal of een publiek toegankelijke back-up van het bestand wp-config.php. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de impact met een 9 beoordeeld.

De ontwikkelaars van de plug-in werden op 22 december over de kwetsbaarheid ingelicht. Op 6 januari werd het probleem met de lancering van plug-inversie 3.0.0 verholpen. Facebook for WordPress wordt door meer dan 500.000 websites gebruikt. Volgens cijfers van WordPress draait bijna de helft van deze websites een kwetsbare versie van de plug-in. Beheerders wordt dan ook opgeroepen om de laatste versie van de plug-in te installeren.

Daarnaast ontdekte Wordfence ook nog een tweede kwetsbaarheid met een impactscore van 8,8. Via dit beveiligingslek is het mogelijk om malafide JavaScript te injecteren als een aanvaller een beheerder zover weet te krijgen om op een malafide link te klikken. Dit beveiligingslek is aanwezig in versie 3.0 tot en met 3.3 van de plug-in en is verholpen in versie 3.0.4. Hoeveel websites door dit beveiligingslek risico lopen is niet via de WordPress-statistieken te achterhalen.