Facebook für WordPress: Jetzt Update einspielen um Site Takeover zu verhindern

Facebook hat zwei kritische Schwachstellen in seinem beliebten WordPress-Plugin behoben, die laut Wordfence zur vollständigen Übernahme einer Website hätten ausgenutzt werden können.

Das Sicherheitsunternehmen gab gestern bekannt, dass es die Fehler am 22. Dezember letzten Jahres und am 27. Januar 2021 gegenüber dem sozialen Netzwerk offengelegt hat. Patches für beide wurden am 6. Januar bzw. 7. Februar 2021 veröffentlicht.

Die Schwachstellen betrafen das früher als Official Facebook Pixel bekannte Plugin, das weltweit auf rund einer halben Million Websites installiert sein soll. Die Software wurde entwickelt, um Facebooks Konversionsmessungs-Tool Pixel in WordPress-Seiten zu integrieren, um den Traffic zu überwachen und bestimmte Nutzeraktionen aufzuzeichnen.

Der erste Fehler ist eine PHP Object Injection-Schwachstelle mit einem CVSS-Score von 9.

„Der Kern der PHP Object Injection-Schwachstelle befand sich innerhalb der Funktion run_action(). Diese Funktion sollte Benutzerdaten aus der POST-Variable event_data deserialisieren, um sie an die Pixel-Konsole zu senden“, erklärt Chloe Chamberland, Threat-Analystin bei Wordfence.

„Leider konnten diese event_data von einem Benutzer geliefert werden. Wenn vom Benutzer bereitgestellte Eingaben in PHP deserialisiert werden, können Benutzer PHP-Objekte bereitstellen, die „magic methods“ auslösen und Aktionen ausführen können, die für bösartige Zwecke verwendet werden können.“

Als solcher hätte der Fehler ausgenutzt werden können, um beliebige Dateien hochzuladen und entfernte Codeausführung auf einem verwundbaren Ziel zu erreichen.

Die zweite CVE war eine Cross-Site-Request-Forgery mit einem CVSS-Score von 8,8.

Sie wurde versehentlich eingeführt, als die Entwickler das Plugin auf Version 3.0 aktualisierten, und bezieht sich auf eine AJAX-Funktion, die hinzugefügt wurde, um die Integration der Software in WordPress-Sites zu erleichtern.

„Es gab eine Berechtigungsprüfung für diese Funktion, die Benutzern unterhalb der Administratoren den Zugriff darauf verwehrte, allerdings gab es keinen Nonce-Schutz. Das bedeutete, dass es keine Überprüfung gab, ob eine Anfrage von einer legitimen, authentifizierten Administratorensitzung kam“, erklärt Chamberland.

„Dies ermöglichte es Angreifern, eine Anfrage zu erstellen, die ausgeführt werden würde, wenn sie einen Administrator dazu bringen könnten, eine Aktion auszuführen, während er an der Zielsite authentifiziert ist.“

Die Schwachstelle hätte ausgenutzt werden können, um die Einstellungen des Plugins zu aktualisieren, metrische Daten zu stehlen und bösartige Hintertüren in Theme-Dateien zu injizieren oder neue administrative Benutzerkonten zu erstellen, um eine Website komplett zu kapern, fügte sie hinzu.

Benutzer werden dringend gebeten, auf die neueste Version von Facebook für WordPress (3.0.5) zu aktualisieren.