И снова о плагине для CMS: устранены опасные уязвимости в Facebook for Wordpress

И снова о плагине для CMS: устранены опасные уязвимости в Facebook for Wordpress
b33d12ea24c5cb2a7efd5479ce366824.jpg

В блоге компании по информационной безопасности Defiant появилась информация об устранении серьезных уязвимостей в плагине Facebook for Wordpress. Ранее известный как Official Facebook Pixel, плагин позволяет отслеживать действия пользователей на страницах сайтов, созданных на базе CMS WordPress. Отмечается, что Facebook for Wordpress установлен более чем на 500 000 сайтов.

Найденные уязвимости получили идентификаторы CVE-2021-24217 и CVE-2021-24218.

Первая брешь стала следствием использования небезопасной функции (run_action()), применяемой для обработки пользовательских данных. Таким образом, если злоумышленник передаст обработчику специальным образом сформированные пользовательские данные, возникает возможность реализации PHP-инъекции – исполнения стороннего PHP-кода на серверной стороне сайта.

Вторая уязвимость позволяет внедрять произвольный JavaScript код в настройки плагина. Например, как поясняют в Defiant, злоумышленник мог внедрить вредоносный JavaScript в значения настроек, в результате чего код будет выполняться в браузере администратора сайта при доступе к странице настроек. В конечном итоге этот код можно использовать для внедрения вредоносных бэкдоров или создания новых учетных записей.

Уязвимости получили оценку по степени опасности высокую (CVE -2021-24218) и критическую (CVE -2021-24217), поэтому настоятельно рекомендуется немедленно обновить плагин на сайтах, использующих его, до последней доступной версии , содержащей оба исправления.

«Следует учесть, что на сегодняшний день CMS WordPress – самая популярная система управления контентом в сети Интернет. Многие известные компании используют ее в качестве основной платформы сайта или для создания определенных дочерних сайтов, например, компании NGINX и Microsoft . Из этого можно заключить, что интерес к WordPress-сайтам со стороны киберпреступников может только увеличиваться. Кроме того, эксперты из различных источников отмечают и прогнозируют рост количества и мощности DDoS-атак на онлайн-ресурсы. В связи с этим ожидается увеличение спроса на услуги по защите веб-ресурсов компаний не только с применением WAF, но и с использованием технологий защиты от DDoS-атак», – рассказывает Виктор Федотов, главный архитектор проекта Инженерного центра Angara Professional Assistance.

Он отмечает, что Angara Professional Assistance готова предложить из своего портфеля услуг комплексное решение, включающее защиту от DDoS с применением WAF, для обеспечения защищенности опубликованных в сеть Интернет ресурсов от угроз, направленных на их доступность (DDoS), и угроз конфиденциальности данных сайта (использующие уязвимости Web-приложений).

Подробную информацию об услуге можно найти на нашем сайте в разделе « MSSP », блок «ЗАЩИТА ОТ DDOS», а также получить у менеджеров компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-07.
Alt text

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group