Fallas críticas en plugin de Facebook para WordPress; actualice de inmediato

Los especialistas en seguridad web de Wordfence anunciaron la detección y posterior corrección de dos severas fallas en el plugin de Facebook for WordPress. Acore a Wordfence Threat Intelligence, las fallas residen en Facebook for WordPress, antes conocido como Official Facebook Pixel.

Este es un plugin utilizado para registrar las acciones de los usuarios cuando visitan un sitio web, además de monitorear el tráfico, y cuenta con más de 500 mil instalaciones activas en sitios web operando con este sistema de gestión de contenido (CMS).

A finales de 2020, este grupo de investigación informó a los desarrolladores sobre una falla crítica de inyección de objetos PHP encontrada en la función run_action () de este plugin. Esta falla recibió un puntaje de 9/10 según la escala del Common Vulnerabiliy Scoring System (CVSS).

Si se genera un nonce válido (a través de un script personalizado, por ejemplo), los actores de amenazas podrían entregar al plugin objetos PHP, además de cargar archivos maliciosos en sitios web vulnerables y realizar ataques de ejecución remota de código.

Sobre la falla, los expertos reportan que un actor de amenazas no autenticado con acceso a las claves de administrador de un sitio web podría ejecutar código remoto a través de una falla de deserialización. Por otra parte, la segunda falla es considerada crítica y permite la falsificación de solicitudes entre sitios, eventualmente permitiendo ataques de scripts entre sitios.

Cuando se actualizó el software, se introdujo una función AJAX para facilitar la integración del plugin, aunque una falla de verificación de permisos presentaba a los hackers maliciosos una oportunidad para ejecutar solicitudes especialmente diseñadas, menciona Wordfence: “Los hackers podrían utilizar la acción para actualizar la configuración del plugin, atacando a su propia consola de Facebook Pixel para robar datos de un sitio web objetivo”, menciona el reporte, que también señala la posibilidad de una inyección de JavaScript malicioso para la implementación de backdoors en el sitio comprometido.

Después de recibir los reportes, Facebook comenzó a trabajar en el lanzamiento de un parche de seguridad; las correcciones completas para estas fallas están disponibles desde el 17 de febrero, por lo que se invita a los administradores de sitios web que usan versiones vulnerables a actualizar de inmediato.   

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).