Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Dos vulnerabilidades críticas en plugin de Facebook para WordPress


Explicado por el equipo de Wordfence Threat Intelligence, se han corregido dos vulnerabilidades graves, un RCE y XSS en el complemento de Facebook para WordPress. Los errores impactan en Facebook para WordPress, anteriormente conocido como Official Facebook Pixel.



El complemento, que se utiliza para capturar las acciones de los usuarios cuando visitan una página y para monitorear el tráfico del sitio, se ha instalado en más de 500.000 sitios web.

El 22 de diciembre, los investigadores de ciberseguridad revelaron en privado una vulnerabilidad crítica al proveedor que recibió una puntuación de gravedad CVSS de 9 sobre 10. La vulnerabilidad, descrita como una inyección de objetos PHP, se encontró en la función run_action() del software. Si se generó un nonce válido, como mediante el uso de un script personalizado, un atacante podría proporcionar al complemento objetos PHP con fines maliciosos e ir tan lejos como para cargar archivos en un sitio web vulnerable y lograr la ejecución remota de código (RCE ).

"Esta falla hizo posible que atacantes no autenticados accedieran claves secretas de un sitio y lograran la ejecución remota de código a través de una debilidad de deserialización", dice el equipo.

La segunda vulnerabilidad, considerada de gran importancia, se descubrió el 27 de enero. La falla de seguridad de falsificación de solicitudes entre sitios, que conduce a un problema de XSS, se introdujo accidentalmente cuando se cambió el nombre del complemento.

Los informes fueron aceptados por el equipo de seguridad de Facebook y se lanzó un parche para la primera vulnerabilidad el 6 de enero, seguido de una segunda corrección el 12 de febrero. Sin embargo, el parche para el segundo error requirió ajustes y no se publicó una corrección completa hasta el 17 de febrero. 

Ambas vulnerabilidades se han actualizado en la versión 3.0.4, por lo que se recomienda que los webmasters actualicen a la última versión disponible del complemento, que actualmente es 3.0.5.

Fuentes:

https://blog.segu-info.com.ar/2021/03/vulnerabilidades-criticas-en-facebook.html

Wordfence Threat Intelligence


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.