Sårbarheder i WordPress plugin

   En fejl der findes i Facebooks officielle chat-plugin til WordPress websteder, har kunne give angribere mulighed for at opfange meddelelser, der er sendt af besøgende. Dette Facebook-plugin giver mulighed for at integrere en chat-pop-up til kommunikation i realtid gennem Facebooks besked-platform.

Det omtalte plugin har understøttelse af chattranskripter, og gør det nemt at konfigurere autosvar og ofte stillede spørgsmål uden for den normale åbningstid. I en offentliggjort rapport fra Wordfence Threat Intelligence-team lyder det, at godkendte valgmuligheder har alvorlige sårbarheder. 

Facebooks sikkerhedsteam har på den baggrund udsendt en ny version den 28. juli med versionsnummer 1.6. Dette sker omtrent en måned efter Wordfences udgivelse af rapporten.

På websteder, der kører en sårbar version af det officielle Facebook Chat-plugin, kan autentificerede angribere "forbinde deres egen Facebook Messenger-konto [..] og deltage i chats med besøgende på webstedet [..]."

Forsøg på udnyttelse, der er målrettet mod denne sårbarhed, kunne let bruges som en del af et social engineering angreb ved at udgive sig som en webstedsejer, der anmoder om personlig identificerbare oplysninger, legitimationsoplysninger eller anden information.

Endnu er det relativ få, der har hentet det nye Facebook-plugin, og der menes fortsat at være mindst 54.000 WordPress-websteder, hvor fejlbehæftede plugin fortsat er aktive.

Wordfence fandt også andre kritiske fejl, f.eks. i Googles officielle WordPress-plugin med 300.000 installationer

Du kan læse mere indgående på Bleeping Computer

Forfatter	Besked Emne Søg Emne-funktioner Besvar Opret nyt emne Printervenlig udgave Oversæt Emne
Guests Bruger-profil Send personlig besked Find brugers indlæg Føj til venneliste Guest Group	Indlæg funktioner Besvar Citér Guests Tak(0) Citér Svar Emne: Sårbarheder i WordPress plugin Sendt: 05 Aug 2020 kl. 06:57
	En fejl der findes i Facebooks officielle chat-plugin til WordPress websteder, har kunne give angribere mulighed for at opfange meddelelser, der er sendt af besøgende. Dette Facebook-plugin giver mulighed for at integrere en chat-pop-up til kommunikation i realtid gennem Facebooks besked-platform. Det omtalte plugin har understøttelse af chattranskripter, og gør det nemt at konfigurere autosvar og ofte stillede spørgsmål uden for den normale åbningstid. I en offentliggjort rapport fra Wordfence Threat Intelligence-team lyder det, at godkendte valgmuligheder har alvorlige sårbarheder. Facebooks sikkerhedsteam har på den baggrund udsendt en ny version den 28. juli med versionsnummer 1.6. Dette sker omtrent en måned efter Wordfences udgivelse af rapporten. På websteder, der kører en sårbar version af det officielle Facebook Chat-plugin, kan autentificerede angribere "forbinde deres egen Facebook Messenger-konto [..] og deltage i chats med besøgende på webstedet [..]." Forsøg på udnyttelse, der er målrettet mod denne sårbarhed, kunne let bruges som en del af et social engineering angreb ved at udgive sig som en webstedsejer, der anmoder om personlig identificerbare oplysninger, legitimationsoplysninger eller anden information. Endnu er det relativ få, der har hentet det nye Facebook-plugin, og der menes fortsat at være mindst 54.000 WordPress-websteder, hvor fejlbehæftede plugin fortsat er aktive. Wordfence fandt også andre kritiske fejl, f.eks. i Googles officielle WordPress-plugin med 300.000 installationer Du kan læse mere indgående på Bleeping Computer