The Wordfence Threat Intelligence security team revealed
last week that several critical vulnerabilities exist in the
Facebook plugin for WordPress.
This plugin has been installed on more than 500.000 Sites
websites, used to capture user actions when they visit a
page and in this way monitor site traffic.
This critical vulnerability received a CVSS severity of
9, with the score given on 22 of December last year, being this day
when researchers privately disclosed this vulnerability to the vendor.
This vulnerability occurred in the PHP object injection found in the
run_action function(), pudiéndose utilizar un script personalizado que permita
proporcionar a dicho complemento objetos PHP maliciosos, llegando incluso a
cargar archivos en un sitio web vulnerable y poder lograr de esta forma la
ejecución remota de código.
Según indica el equipo de seguridad que encuentra esta
vulnerabilidad, los atacantes podrían explotar la falla para acceder a claves
secretas de un sitio web sin la necesidad de autenticación, logrando de esta
forma la ejecución de código remoto.
La siguiente vulnerabilidad encontrada en el complemento se
descubrió el 27 January. En este fallo de seguridad se falsifica la solicitud
entre sitios, llevando esto a un problema de XSS, siendo un error que se introdujo
totalmente accidental al cambiar el nombre del complemento en cuestión.
El equipo de seguridad de Facebook lanzo un parche de
seguridad para la primera vulnerabilidad el 6 January, aunque fue necesario
lanzar una segunda corrección el 12 de febrero. Hasta el día 17 de febrero no
fue lanzado el parche de seguridad que arreglaba el segundo error, esto fue
debido a que requería ajustes.
Estas dos vulnerabilidades han sido actualizadas en la versión
3.0.4, motivo por el cual se recomienda la actualización de este complemento.