Facebook 開發的兩支 WordPress 插件程式,遭爆內含資安漏洞

資安研究人員發現 Facebook 為 WordPress 開發的兩支插件擴充程式,內含 0-Day 漏洞,無法阻擋 CSRF/XSRF 攻擊。

據該研究人員通報,出現漏洞的兩支由 Facebook 開發的 WordPress 插件程式,一支是 Messenger Customer Chat,另一支是 Facebook for WooCommerce,各有二十萬和二萬個安裝次數。

這兩支插件程式的漏洞在於未能檢測並阻擋跨站請求偽造攻擊(Cross-Site Request Forgery, CSRF/XSRF),讓不同網站可以偽裝成用戶本人以進行各種操作。

目前 Facebook 已經修復這兩支插件,但由於發表這兩個漏洞的資安研究者並沒有依照慣例,搶在修補程式發布前就公告漏洞資訊,因此也引起資安與開發社群的批判。

資料來源:

  1. https://threatpost.com/irked-researcher-discloses-facebook-wordpress-plugin-flaws/145771/
  2. https://www.pluginvulnerabilities.com/2019/06/17/automattic-is-having-woocommerce-install-by-default-an-insecure-plugin-by-facebook/
  3. https://www.pluginvulnerabilities.com/2019/06/17/facebooks-wordpress-plugin-messenger-customer-chat-contains-an-authenticated-settings-change-vulnerability/
Scroll to Top