En fejl der findes i Facebooks officielle chat-plugin til WordPress websteder, har kunne give angribere mulighed for at opfange meddelelser, der er sendt af besøgende. Dette Facebook-plugin giver mulighed for at integrere en chat-pop-up til kommunikation i realtid gennem Facebooks besked-platform.
Det omtalte plugin har understøttelse af chattranskripter, og gør det nemt at konfigurere autosvar og ofte stillede spørgsmål uden for den normale åbningstid. I en offentliggjort rapport fra Wordfence Threat Intelligence-team lyder det, at godkendte valgmuligheder har alvorlige sårbarheder.
Facebooks sikkerhedsteam har på den baggrund udsendt en ny version den 28. juli med versionsnummer 1.6. Dette sker omtrent en måned efter Wordfences udgivelse af rapporten.
På websteder, der kører en sårbar version af det officielle Facebook Chat-plugin, kan autentificerede angribere "forbinde deres egen Facebook Messenger-konto [..] og deltage i chats med besøgende på webstedet [..]."
Forsøg på udnyttelse, der er målrettet mod denne sårbarhed, kunne let bruges som en del af et social engineering angreb ved at udgive sig som en webstedsejer, der anmoder om personlig identificerbare oplysninger, legitimationsoplysninger eller anden information.
Endnu er det relativ få, der har hentet det nye Facebook-plugin, og der menes fortsat at være mindst 54.000 WordPress-websteder, hvor fejlbehæftede plugin fortsat er aktive.
Wordfence fandt også andre kritiske fejl, f.eks. i Googles officielle WordPress-plugin med 300.000 installationer
Du kan læse mere indgående på https://www.bleepingcomputer.com/news/security/facebook-plugin-bug-lets-hackers-hijack-wordpress-sites-chat/" rel="nofollow - Bleeping Computer
|