...

Le plug-in Facebook pour WordPress vient d’être corrigé après la découverte de deux graves failles de sécurité. L’outil est utilisé par plus de 500 000 sites web.

Des vulnérabilités graves corrigées dans le plug-in Facebook pour WordPress

Deux vulnérabilités graves viennent d’être corrigées dans le plug-in Facebook pour WordPress. Divulguées par l’équipe Wordfence Threat Intelligence cette semaine, ces failles ont un impact sur Facebook for WordPress, anciennement connu sous le nom de Official Facebook Pixel. Le plug-in, utilisé pour capturer les actions des utilisateurs lorsqu’ils visitent une page et pour surveiller le trafic du site, a été installé sur plus de 500 000 sites web. Le 22 décembre dernier, des chercheurs en cybersécurité ont divulgué en privé au fournisseur une vulnérabilité critique qui a reçu un score de sévérité CVSS de 9. La vulnérabilité, décrite comme une injection d’objet PHP, a été découverte dans la fonction run_action() du logiciel. Si un nom valide était généré – par exemple par l’utilisation d’un script personnalisé – un attaquant pouvait fournir au plug-in des objets PHP à des fins malveillantes et aller jusqu’à télécharger des fichiers sur un site web vulnérable et réaliser une exécution de code à distance (RCE). « Cette faille permettait à des attaquants non authentifiés ayant accès aux sels et aux clés secrètes d’un site d’exécuter du code à distance grâce à une faiblesse de désérialisation », explique l’équipe.

Pas de permission
La deuxième vulnérabilité, jugée de haute importance, a été découverte le 27 janvier. La faille de sécurité « cross-site request forgery », qui conduit à un problème de scripting intersite, a été introduite accidentellement lorsque le plug-in a été rebaptisé.

Lorsque le logiciel a été mis à jour, une fonction AJAX a été introduite pour faciliter l’intégration du plug-in. Cependant, un problème de vérification des permissions dans la fonction a ouvert la voie aux attaquants pour élaborer des requêtes qui pourraient être exécutées « s’ils pouvaient tromper un administrateur pour qu’il effectue une action tout en étant authentifié sur le site cible », selon Wordfence.

« L’action pourrait être utilisée par un attaquant pour mettre à jour les paramètres du plug-in afin de pointer vers sa propre console Facebook Pixel et voler les données métriques d’un site », explique l’équipe. « Pire encore, comme il n’y avait pas d’assainissement sur les paramètres stockés, un attaquant pouvait injecter du JavaScript malveillant dans les valeurs des paramètres. »

Vulnérabilités corrigées
Le JavaScript malveillant pourrait, par exemple, être utilisé pour créer des portes dérobées dans les thèmes ou créer de nouveaux comptes administrateurs pour détourner des sites web entiers.

Les rapports ont été acceptés par l’équipe de sécurité de Facebook et un correctif pour la première vulnérabilité a été publié le 6 janvier, suivi d’un deuxième correctif le 12 février. Cependant, le correctif pour la deuxième faille a nécessité des ajustements et le correctif complet n’a été publié que le 17 février.

Les deux vulnérabilités ont été mises à jour dans la version 3.0.4, et il est donc recommandé aux webmasters de mettre à jour la dernière version disponible du plug-in, qui est actuellement la 3.0.5.

Source : ZDNet.com