Facebook for WordPress插件漏洞目标+500,000个站点

在Facebook中修补了两个漏洞,用于WordPress插件。漏洞利用可以允许恶意攻击者在户间安装,创建管理员级帐户和阶段一个完整的网站接管。WordPress Exploit

Facebook for WordPress插件,安装在500,000多个网站上,是用于使用Facebook广告的广告商的网站访问者跟踪插件。它允许广告商跟踪访客旅程并优化他们的广告活动。

其中一个漏洞利用于2020年12月发现。另一个缺陷是在1月2021年1月推出的,作为重新安定的一部分d代码更新到插件。

PHP对象注射漏洞

这种漏洞取决于缺陷的漏洞取决于上传,反过来允许攻击者进行各种攻击如代码注入。

在这个特定的攻击中,黑客可以使用受影响的插件来上传文件并继续执行远程代码执行。

此漏洞的详细信息也可能允许攻击者利用包含该漏洞的其他插件。

根据Wordfence:

“这意味着攻击者可以生成New.php的PHP文件易受攻击的网站的主目录…… PHP文件内容可以更改为任何内容……这将允许攻击者到一个chiefie remate代码执行。 注意,完全流行链链的存在也意味着可以使用具有对象注射漏洞的任何其他插件,包括不需要该网站盐和键的知识的那些如果在使用Facebook for WordPress插件的网站上安装了远程代码执行。 Exploit是一种类型,需要一个受害者的受害者到WordPress站点的凭据,以执行操作(如点击链接),然后将导致攻击利用管理员高级凭据。

攻击者可以访问私人公制数据或阶段完整的网站收购。

Wordfence描述它如下:

”攻击者可以使用该动作来更新插件的设置点指向自己的设置Facebook像素控制台和窃取网站的度量标准数据。

更糟糕的是,由于存储的设置没有Sunitization,攻击者可以将恶意JavaScript注入设置值。

这些然后将在设置页面上反映出值,导致代码在访问设置页面时在站点管理员的浏览器中执行。

最终,此代码可用于将恶意后门注入主题文件或创建新的管理可用于完整网站收购的用户帐户。“

更新推荐

它是rec推荐所有用户立即将其插件更新到最新版本(当前版本3.0.5)。 Facebook for WordPress版本3.0.4完全修补,但第3.0.5版是插件最新版本的最新版本。

引文

在Facebook中为WordPress插件修补了两个漏洞

Facebook for WordPress Changelog