Wordfence的研究人員在Facebook for WordPress插件中發現了兩個漏洞，該漏洞有超過500,000次有效安裝。該插件使管理員可以捕獲人們在與頁面交互時所執行的操作，例如Lead、ViewContent、AddToCart、InitiateCheckout和Purchase事件。

“2020年12月22日，我們的威脅情報團隊負責地披露了Facebook for WordPress的一個漏洞，該漏洞以前被稱為Official Facebook Pixel，這是一個安裝在500,000多個站點上的WordPress插件。”WordFence發布的帖子上如此寫道，“此缺陷使未經身份驗證的攻擊者可以訪問站點的加密salt值和密鑰，從而通過反序列化漏洞實現遠程代碼執行。”

這個漏洞被描述為帶有POP鏈的PHP對象注入，未經身份驗證的攻擊者可能會利用此漏洞來訪問站點的機密和密鑰，并利用反序列化漏洞來實現遠程代碼執行。

攻擊者只能使用有效的nonce來利用此問題，因為handle_postback函數需要有效的隨機數。

“PHP對象注入漏洞的核心是在run_action()函數中，此函數旨在從event_data POST變量中反序列化用戶數據，以便將數據發送到pixel控制臺。不幸的是，該event_data可能是由用戶提供。”帖子中繼續寫道，“當用戶提供的輸入在PHP中反序列化時，用戶可以提供PHP對象，這些對象可以觸發魔術方法并執行可用于惡意目的的操作。”

專家指出，即使反序列化漏洞與gadget或魔術方法結合使用時可能相對無害，也它也會對站點造成重大破壞，因為將Facebook for WordPress中的漏洞可以與魔術方法結合使用，上傳任意文件并執行遠程代碼。

“這意味著攻擊者可以在易受攻擊的站點的主目錄中生成包含內容的PHP文件new.php。PHP文件的內容可以任意更改，例如更改為允許攻擊者實現遠程代碼執行。”Wordfence說道。

該漏洞被評為嚴重危險程度，其CVSS評分為9分(滿分10分)。

專家于12月22日向該社交網絡巨頭報告了該漏洞，于1月6日修復了該漏洞，并發布了新版本。

Facebook修復了該漏洞之后，安全研究人員在更新的插件中發現了“跨站點請求偽造到存儲的跨站點腳本”漏洞。該漏洞被評為高度危險程度，其CVSS評分為8.8。該漏洞已于1月27日報告給Facebook，并于2021年2月26日得到解決。

“他們在更新插件時所做的一項更改解決了保存插件設置背后的功能問題，這被轉換為AJAX操作，以使集成過程更加無縫。新版本引入了與saveFbeSettings函數關聯的wp_ajax_save_fbe_settings AJAX操作。”“此函數用于通過Facebook Pixel ID、訪問令牌和外部業務密鑰更新插件的設置。這些設置有助于與Facebook pixel控制臺建立連接，以便可以將事件數據從WordPress網站發送到相應的Facebook pixel帳戶。”

攻擊者可以利用此問題來更新插件的設置并竊取網站的指標數據，還可以將惡意JavaScript代碼注入到設置值中。

然后，這些值將反映在“設置”頁面上，從而使代碼在訪問設置頁面時在站點管理員的瀏覽器中執行。專家發現，這些代碼可能被用來向主題文件中注入惡意后門，或者創建新的管理用戶帳戶，從而接管網站。

本文翻譯自：https://securityaffairs.co/wordpress/116063/social-networks/facebook-wordpress-plugin-attacks.html如若轉載，請注明原文地址。