Informatiebeveiliging specialisten uit Wordfence hebben de kwetsbaarheid van de Ad Inserter plugin gevonden voor WordPress geïnstalleerd op meer dan 200,000 websites. De bug laat aanvallers op afstand PHP code uit te voeren op de site.
THij beveiligingslek treft alle WordPress websites met geïnstalleerd ad Inserter 2.4.21 of lager.“De zwakte toegestaan geverifieerde gebruikers (Abonnees en hoger) om willekeurige PHP-code uit te voeren op de websites van het gebruik van de plugin”, - gerapporteerde informatie security experts uit Wordfence dat de kwetsbaarheid ontdekt.
Volgens Wordfence onderzoekers, de kwetsbaarheid is gerelateerd tot het gebruik van check_admin_referer () functie voor autorisatie, die bedoeld is om WordPress sites uit CSRF aanvallen te beschermen. Deze functie controleert aanwezigheid van eenmalige codes in het verzoek (een eenmalige token gebruikt voor de behandeling van ongewenste vermijd dubbel, verlopen of kwaadaardige verzoeken).
De praktijk is ontworpen om ervoor te zorgen dat gebruikers met de juiste rechten kan alleen toegang krijgen tot de eenmalige code. Echter, WordPress ontwikkelaars ontvangen waarschuwing tegen het gebruik van one-time codes en aanwijzen in officiële documentatie “moet je nooit vertrouwen op eenmalige codes voor authenticatie, vergunning of toegangscontrole.”
Na eenmalige code beschikbaar, geverifieerde aanvallen kan de machtiging kan overslaan en de toegang tot de debug mode die door de Ad Inserter plugin te krijgen.
typisch, deze debugging functies zijn alleen beschikbaar voor beheerders, uitleggen onderzoekers. In het geval van het activeren van een aantal instellingen, bijna elke pagina bevat JavaScript-code die een geldige eenmalige code bevat voor de ai_ajax_backend actie. Zodra een aanvaller ontvangt een eenmalige code, hij kan debuggen te activeren en de ad-preview-functie misbruiken door een kwaadaardige lading met willekeurige PHP-code.
Ad Inserter ontwikkelaars hebben al een herziene versie van de plugin uitgebracht.
“Dit wordt beschouwd als een kritiek beveiligingsprobleem, en websites running Ad Inserter 2.4.21 of beneden moet worden bijgewerkt naar versie 2.4.22 meteen", - raden Wordfence specialisten WordPress administrators.
