- Сравнение
- Учебники
- Parche el complemento de Facebook para WordPress ahora, advierten los usuarios
El equipo de inteligencia de amenazas de Wordfence descubrió dos vulnerabilidades en el complemento de WordPress de Facebook que, si no se controla, podría ser aprovechado por un atacante para ejecutar código de forma remota o para inyectar JavaScript malicioso en la configuración del complemento.
Facebook para WordPress es un complemento diseñado para crear una integración perfecta entre la herramienta de medición de conversión de píxeles de Facebook y un sitio de WordPress. Una vez instalado, el complemento monitorea el tráfico del sitio y registra datos cuando los usuarios navegan a las páginas y realizan ciertas acciones en un sitio.
La primera falla descubierta por Wordfence podría ser utilizada por atacantes no autenticados con acceso a las sales y claves secretas de un sitio para realizar la ejecución remota de código gracias a una debilidad de deserialización. La compañía reveló responsablemente la vulnerabilidad a Facebook a fines del año pasado y ahora ha sido parcheada.
Facebook para WordPress
La segunda falla descubierta en Facebook para WordPress por el equipo de Threat Intelligence en Wordfence se introdujo cuando se cambió el nombre del complemento con el lanzamiento de la versión 3.0.0.
Si se explota, esta falla podría permitir a los atacantes inyectar JavaScript malicioso en la configuración del complemento si un atacante puede engañar con éxito a un administrador de WordPress para que realice una acción como hacer clic en un enlace. Wordfence se comunicó con el equipo de seguridad de Facebook a fines de enero de este año para notificarles sobre la segunda vulnerabilidad.
Las dos vulnerabilidades de Facebook para WordPress deben abordarse de inmediato, ya que la vulnerabilidad de inyección de objetos PHP tiene una puntuación CVSS de 9,0 y se considera crítica, mientras que la manipulación de solicitudes entre sitios tiene una puntuación CVSS de 8,8 y se considera alta.
La versión 3.0.5 del complemento de Facebook para WordPress ya está disponible y la última versión del complemento contiene correcciones que corrigen ambas vulnerabilidades.