Ada dua kerentanan kritis ditemukan di plugin Facebook for WordPress. Diungkap oleh tim Wordfence Threat Intelligence minggu ini, bug tersebut memengaruhi Facebook for WordPress, yang sebelumnya dikenal sebagai Official Facebook Pixel.
Plugin yang sudah diinstal oleh lebih dari 500.000 situs web ini berfungsi untuk menangkap tindakan pengguna saat mereka mengunjungi halaman serta untuk memantau lalu lintas situs.
Pada tanggal 22 Desember 2020, para peneliti keamanan secara pribadi mengungkapkan kerentanan kritis yang diberi skor keparahan CVSS 9 ini kepada vendor. Kerentanan tersebut, yang digambarkan sebagai PHP Object Injection, ditemukan dalam fungsi run_action() plugin.
Jika nonce yang valid dibuat – seperti melalui penggunaan skrip kustom – penyerang dapat mengisi plugin dengan objek PHP untuk tujuan berbahaya dan memungkinkan untuk mengunggah file ke situs web yang rentan serta mencapai Remote Code Execution (RCE).
“Bug ini memungkinkan penyerang yang tidak terotentikasi mencapai remote code execution melalui celah deserialisasi,” kata tim peneliti.
Kerentanan kedua, yang juga dianggap kritis, ditemukan pada 27 Januari 2021. Celah keamanan cross-site request forgery, yang mengarah ke masalah cross-site scripting, muncul secara tidak sengaja saat plugin diubah namanya.
Saat plugin diperbarui, fungsi AJAX diperkenalkan untuk mempermudah integrasi plugin. Namun, masalah pemeriksaan izin dalam fungsi tersebut membuka jalan bagi penyerang untuk membuat permintaan yang dapat dieksekusi “jika mereka dapat mengelabui administrator agar melakukan tindakan saat terotentikasi ke situs target,” menurut Wordfence.
“Tindakan tersebut dapat digunakan oleh penyerang untuk memperbarui pengaturan plugin agar mengarah ke konsol Facebook Pixel mereka sendiri dan mencuri data metrik untuk sebuah situs,” kata tim peneliti. “Lebih buruknya lagi, karena tidak ada sanitasi pada pengaturan yang disimpan, penyerang dapat memasukkan JavaScript berbahaya ke dalam value pengaturan.”
JavaScript berbahaya, misalnya, dapat digunakan untuk membuat backdoor dalam tema atau membuat akun admin baru untuk membajak seluruh situs web.
Baca Juga: “Zero-Day Dalam Plugin SMTP WordPress Bisa Disalahgunakan Untuk Mereset Kata Sandi“
Laporan tersebut diterima oleh tim keamanan Facebook dan patch untuk kerentanan pertama dirilis pada 6 Januari 2021, diikuti oleh perbaikan kedua pada 12 Februari 2021. Namun, patch untuk bug kedua memerlukan penyesuaian dan perbaikan penuh tidak dipublikasikan hingga 17 Februari 2021.
Kedua bug dalam plugin Facebook for WordPress tersebut telah diperbaiki dalam versi terbarunya, dan oleh karena itu disarankan agar administrator situs segera memperbarui ke versi terbaru yang tersedia.
