• 發布單位:TWCERT/CC
• 更新日期:2020-05-26
• 點閱次數:653

資安研究人員發現 Facebook 為 WordPress 開發的兩支插件擴充程式，內含 0-Day 漏洞，無法阻擋 CSRF/XSRF 攻擊。

據該研究人員通報，出現漏洞的兩支由 Facebook 開發的 WordPress 插件程式，一支是 Messenger Customer Chat，另一支是 Facebook for WooCommerce，各有二十萬和二萬個安裝次數。

這兩支插件程式的漏洞在於未能檢測並阻擋跨站請求偽造攻擊（Cross-Site Request Forgery, CSRF/XSRF)，讓不同網站可以偽裝成用戶本人以進行各種操作。

目前 Facebook 已經修復這兩支插件，但由於發表這兩個漏洞的資安研究者並沒有依照慣例，搶在修補程式發布前就公告漏洞資訊，因此也引起資安與開發社群的批判。