Huis » Nieuws » Door een beveiligingslek in de plugin voor WordPress mag PHP-code op afstand uit te voeren

Door een beveiligingslek in de plugin voor WordPress mag PHP-code op afstand uit te voeren

Informatiebeveiliging specialisten uit Wordfence hebben de kwetsbaarheid van de Ad Inserter plugin gevonden voor WordPress geïnstalleerd op meer dan 200,000 websites. De bug laat aanvallers op afstand PHP code uit te voeren op de site.

THij beveiligingslek treft alle WordPress websites met geïnstalleerd ad Inserter 2.4.21 of lager.

“De zwakte toegestaan ​​geverifieerde gebruikers (Abonnees en hoger) om willekeurige PHP-code uit te voeren op de websites van het gebruik van de plugin”, - gerapporteerde informatie security experts uit Wordfence dat de kwetsbaarheid ontdekt.

ad Inserter - plug-in voor het beheer van advertenties met geavanceerde functies voor het plaatsen van advertenties in de meest optimale positie. Het ondersteunt alle vormen van reclame, waaronder Google AdSense, Google Ad Manager (DFP – DoubleClick for Publishers), contextuele Amazon inheemse Shopping-advertenties, Media.net, en het veranderen van banners.

Volgens Wordfence onderzoekers, de kwetsbaarheid is gerelateerd tot het gebruik van check_admin_referer () functie voor autorisatie, die bedoeld is om WordPress sites uit CSRF aanvallen te beschermen. Deze functie controleert aanwezigheid van eenmalige codes in het verzoek (een eenmalige token gebruikt voor de behandeling van ongewenste vermijd dubbel, verlopen of kwaadaardige verzoeken).

De praktijk is ontworpen om ervoor te zorgen dat gebruikers met de juiste rechten kan alleen toegang krijgen tot de eenmalige code. Echter, WordPress ontwikkelaars ontvangen waarschuwing tegen het gebruik van one-time codes en aanwijzen in officiële documentatie “moet je nooit vertrouwen op eenmalige codes voor authenticatie, vergunning of toegangscontrole.

Na eenmalige code beschikbaar, geverifieerde aanvallen kan de machtiging kan overslaan en de toegang tot de debug mode die door de Ad Inserter plugin te krijgen.

Typisch, deze debugging functies zijn alleen beschikbaar voor beheerders, uitleggen onderzoekers. In het geval van het activeren van een aantal instellingen, bijna elke pagina bevat JavaScript-code die een geldige eenmalige code bevat voor de ai_ajax_backend actie. Zodra een aanvaller ontvangt een eenmalige code, hij kan debuggen te activeren en de ad-preview-functie misbruiken door een kwaadaardige lading met willekeurige PHP-code.

LEZEN  RIG exploit suite wordt nu gebruikt om een ​​nieuwe Buran encryptie tool om gebruikers te leveren

Ad Inserter ontwikkelaars hebben al een herziene versie van de plugin uitgebracht.

“Dit wordt beschouwd als een kritiek beveiligingsprobleem, en websites running Ad Inserter 2.4.21 of beneden moet worden bijgewerkt naar versie 2.4.22 meteen", - raden Wordfence specialisten WordPress administrators.

[Totaal: 0    Gemiddelde: 0/5]

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

MageCart op de Heroku Cloud Platform

Onderzoekers vonden verschillende MageCart Web Skimmers Op Heroku Cloud Platform

Researchers at Malwarebytes reported about finding several MageCart web skimmers on the Heroku cloud platform

Android Spyware CallerSpy

CallerSpy spyware maskers als een Android-chat-applicatie

Trend Micro experts discovered the malware CallerSpy, which masks as an Android chat application and, …

Laat een antwoord achter