Sistemas Afectados
- Facebook for WordPress [Plugin]
Descripción
La vulnerabilidad, descrita como una inyección de objetos PHP, se encontró en la función run_action() del software. Si se generó un nonce válido, como mediante el uso de un script personalizado, un atacante podría proporcionar al complemento objetos PHP con fines maliciosos e ir tan lejos como para cargar archivos en un sitio web vulnerable y lograr la ejecución remota de código (RCE ). “Esta falla hizo posible que atacantes no autenticados accedieran claves secretas de un sitio y lograran la ejecución remota de código a través de una debilidad de deserialización”, dice el equipo que descubrió la falla quien por igual evaluó con una puntuación CVSS 9.0.
La falla de seguridad de falsificación de solicitudes entre sitios, que conduce a un problema de XSS, se introdujo accidentalmente cuando se cambió el nombre del complemento.
Referencia
Solución
- Se recomienda actualizar a la versión 3.0.5 de este complemento donde ya se ha corregido esta vulnerabilidad.
Suscríbete a nuestro boletín de alertas
Enlaces de interés
- El Centro Nacional de Ciberseguridad brindará apoyo al Inabie para prevenir amenazas cibernéticas
- Centro de Ciberseguridad y RTVD realizarán campañas de sensibilización sobre protección del ciberespacio
- CNCS y ETED suscriben acuerdo para fortalecer y consolidar el sistema de ciberseguridad del Estado dominicano
- El Centro Nacional de Ciberseguridad brindará apoyo al Inabie para prevenir amenazas cibernéticas
- Centro de Ciberseguridad y RTVD realizarán campañas de sensibilización sobre protección del ciberespacio
- CNCS y ETED suscriben acuerdo para fortalecer y consolidar el sistema de ciberseguridad del Estado dominicano