image

250.000 WordPress-sites kwetsbaar door kritiek lek in Facebookplug-in

vrijdag 26 maart 2021, 17:07 door Redactie, 2 reacties

Zo'n 250.000 WordPress-sites zijn kwetsbaar voor aanvallen door een beveiligingslek in de plug-in "Facebook for WordPress". Deze plug-in stond eerder nog bekend als Official Facebook Pixel en installeert de Facebook-pixel op WordPress-sites. Beheerders kunnen door middel van de pixel acties van hun bezoekers op de website volgen.

Onderzoekers van securitybedrijf Wordfence ontdekten dat het mogelijk is voor een aanvaller om een PHP-object naar de pixel-console te sturen waarmee bepaalde acties zijn uit te voeren. Eén van deze acties betreft het uploaden van willekeurige bestanden waardoor remote code execution mogelijk wordt.

Om de aanval uit te voeren moet een aanvaller wel toegang tot de salts en keys van de website hebben. Deze informatie gebruikt WordPress voor het beveiligen van informatie in de cookies die worden gebruikt om gebruikers in te loggen. Het verkrijgen van deze informatie zou kunnen door middel van SQL-injection, path traversal of een publiek toegankelijke back-up van het bestand wp-config.php. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de impact met een 9 beoordeeld.

De ontwikkelaars van de plug-in werden op 22 december over de kwetsbaarheid ingelicht. Op 6 januari werd het probleem met de lancering van plug-inversie 3.0.0 verholpen. Facebook for WordPress wordt door meer dan 500.000 websites gebruikt. Volgens cijfers van WordPress draait bijna de helft van deze websites een kwetsbare versie van de plug-in. Beheerders wordt dan ook opgeroepen om de laatste versie van de plug-in te installeren.

Daarnaast ontdekte Wordfence ook nog een tweede kwetsbaarheid met een impactscore van 8,8. Via dit beveiligingslek is het mogelijk om malafide JavaScript te injecteren als een aanvaller een beheerder zover weet te krijgen om op een malafide link te klikken. Dit beveiligingslek is aanwezig in versie 3.0 tot en met 3.3 van de plug-in en is verholpen in versie 3.0.4. Hoeveel websites door dit beveiligingslek risico lopen is niet via de WordPress-statistieken te achterhalen.

Reacties (2)
27-03-2021, 09:24 door spatieman
facebook mode: het is geen bug, maar een ongedocumenteerde optie !
03-04-2021, 12:02 door Anoniem
Er wordt ook steeds nog op websites naar php-exploit-scripts gezocht:
https://github.com/mattiasgeniar/php-exploit-scripts/blob/master/found_on_wordpress/nstview.php

Ineens verdwijnt er dan weer eens een online resource hier en daar, als (voortgezet) 'abuse' Google opvalt.
Dit geldt ook voor de onverdachte researchers en testers. En wordt je weer naar de archieven gestuurd.

Zo bewaart het Vaticaan ook zogenaamd al haar geheimen. Crypten en krochten vol.
Maar er zal niets verborgen blijven. Oh, neen, lieve zoekers.
Alles komt aan het licht, wees daar maar van overtuigd, you dark hat cybercriminals.

Vele goeden moeten weer eens onder de kwaden lijden en dat is steeds zo,

Een goede Paas,

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.