Sistemas Afectados
- Facebook for WordPress [Plugin]
Descripción
La vulnerabilidad, descrita como una inyección de objetos PHP, se encontró en la función run_action() del software. Si se generó un nonce válido, como mediante el uso de un script personalizado, un atacante podría proporcionar al complemento objetos PHP con fines maliciosos e ir tan lejos como para cargar archivos en un sitio web vulnerable y lograr la ejecución remota de código (RCE ). “Esta falla hizo posible que atacantes no autenticados accedieran claves secretas de un sitio y lograran la ejecución remota de código a través de una debilidad de deserialización”, dice el equipo que descubrió la falla quien por igual evaluó con una puntuación CVSS 9.0.
La falla de seguridad de falsificación de solicitudes entre sitios, que conduce a un problema de XSS, se introdujo accidentalmente cuando se cambió el nombre del complemento.
Referencia
Solución
- Se recomienda actualizar a la versión 3.0.5 de este complemento donde ya se ha corregido esta vulnerabilidad.
Suscríbete a nuestro boletín de alertas
Enlaces de interés
- CNCS e Idoppril suscriben acuerdo en favor de ciberseguridad nacional
- República Dominicana reúne a líderes de los Equipos de Respuesta ante Incidentes Cibernéticos (CSIRT’s) nacionales de América Latina y el Caribe
- Centro de Ciberseguridad presenta Plataforma de Concientización en Ciberseguridad al Infotep
- CNCS e Idoppril suscriben acuerdo en favor de ciberseguridad nacional
- República Dominicana reúne a líderes de los Equipos de Respuesta ante Incidentes Cibernéticos (CSIRT’s) nacionales de América Latina y el Caribe
- Centro de Ciberseguridad presenta Plataforma de Concientización en Ciberseguridad al Infotep