WordPress: Entwickler des Plugins "Ad Inserter" fixen kritische Schwachstelle
Vor Version 2.4.22 erlaubte eine Schwachstelle im Ad-Management-Plugin "Ad Inserter" angemeldeten Angreifern die Remote Code Execution.
In "Ad Inserter", einem Plugin zum Verwalten und optimalen Platzieren von Werbeanzeigen auf WordPress-Webseiten, steckte bis vor kurzem eine Schwachstelle, die authentifizierten Angreifern das Ausführen beliebigen Programmcodes aus der Ferne ermöglicht hätte.
Das Entwicklerteam des Sicherheits-Plugins "Wordfence" hat die Schwachstelle entdeckt und einen Sicherheitshinweis veröffentlicht. Demnach betrifft sie alle Ad-Inserter-Versionen bis einschließlich 2.4.21. Wordfence stuft die Schwachstelle als kritisch ein.
Missbrauch des Debug-Mode
Angreifer, die mindestens die WordPress-Benutzerrolle Abonnent (Subscriber) innehatten, konnten laut Wordfence (unzureichende) Kontrollmechanismen umgehen, um in den Debug-Modus des Plugins zu gelangen. Von dort aus sei es möglich gewesen, beliebigen PHP-Code über die "Vorschau"-Funktion für die Werbeanzeigen auszuführen, um sich beispielsweise Zugangsdaten der WordPress-Installation ausgeben zu lassen .
Die Entwickler des verwundbaren Plugins veröffentlichten innerhalb von 24 Stunden, nachdem sie informiert wurden, eine abgesicherte Version. Wordfence rät Nutzern zum zeitnahen Umstieg auf Ad Inserter 2.4.22. (ovw)