22 грудня 2020 року команда по аналізу загроз відкрила вразливість в плагіні Facebook для WordPress , що раніше називався Official Facebook Pixel.
Даний плагін WordPress встановлено на більш ніж 500 000 сайтів. Знайдені вразливості дозволяли неавторизованим користувачам, що мають доступ до секретних “ключів/солей” (SALT), виконувати віддалено код за рахунок вразливості функції десеріалізації.
27 січня 2021 року було розкрито другу вразливість в Facebook для WordPress, що виникла в процесі ребрендінгу плагіна у версії 3.0.0. Ця вразливість дозволяла зловмисникам впровадити JavaScript код в налаштування плагіна, якщо зловмисник міг якимось шляхом змісити адміністратора сайту виконати певну дію, наприклад клікнути на стороннє посилання.
і вразливості вважаються критичними. Тому варто обов’язково виконати оновлення до останньої активної версії плагіна, що містять виправлення.
Ми співпрацюємо з хостингом для WordPress від WPHost.me у напрямку безпеки, тому їх вже повідомлено про вразливість. В найкоротші терміни інженери хостингу оновлять вразливі версії плагінів на сайтах клієнтів, що вбереже їх від взлому. Нагадаємо, що якщо під час замовлення послуг хостингу від WPHost використати промокод wpcoua – отримаєте 10% знижку.
