Sistemas Afectados
- Facebook for WordPress [Plugin]
Descripción
La vulnerabilidad, descrita como una inyección de objetos PHP, se encontró en la función run_action() del software. Si se generó un nonce válido, como mediante el uso de un script personalizado, un atacante podría proporcionar al complemento objetos PHP con fines maliciosos e ir tan lejos como para cargar archivos en un sitio web vulnerable y lograr la ejecución remota de código (RCE ). “Esta falla hizo posible que atacantes no autenticados accedieran claves secretas de un sitio y lograran la ejecución remota de código a través de una debilidad de deserialización”, dice el equipo que descubrió la falla quien por igual evaluó con una puntuación CVSS 9.0.
La falla de seguridad de falsificación de solicitudes entre sitios, que conduce a un problema de XSS, se introdujo accidentalmente cuando se cambió el nombre del complemento.
Referencia
Solución
- Se recomienda actualizar a la versión 3.0.5 de este complemento donde ya se ha corregido esta vulnerabilidad.
Suscríbete a nuestro boletín de alertas
Enlaces de interés
- ¡Juventud y Tecnología! Aprendiendo a proteger el futuro digital del país
- Charla sobre ciberseguridad fomenta uso responsable de la tecnología en centros educativos
- Centro Nacional de Ciberseguridad y Consejo de Coordinación de la Zona Especial de Desarrollo Fronterizo firman acuerdo de cooperación interinstitucional
- ¡Juventud y Tecnología! Aprendiendo a proteger el futuro digital del país
- Charla sobre ciberseguridad fomenta uso responsable de la tecnología en centros educativos
- Centro Nacional de Ciberseguridad y Consejo de Coordinación de la Zona Especial de Desarrollo Fronterizo firman acuerdo de cooperación interinstitucional