WordPress: Entwickler des Plugins "Ad Inserter" fixen kritische Schwachstelle
(Bild: wordpress.org / Screenshot)
Vor Version 2.4.22 erlaubte eine Schwachstelle im Ad-Management-Plugin "Ad Inserter" angemeldeten Angreifern die Remote Code Execution.
In "Ad Inserter", einem Plugin zum Verwalten und optimalen Platzieren von Werbeanzeigen auf WordPress-Webseiten, steckte bis vor kurzem eine Schwachstelle, die authentifizierten Angreifern das Ausführen beliebigen Programmcodes aus der Ferne ermöglicht hätte.
Das Entwicklerteam des Sicherheits-Plugins "Wordfence" hat die Schwachstelle entdeckt und einen Sicherheitshinweis veröffentlicht [1]. Demnach betrifft sie alle Ad-Inserter-Versionen bis einschließlich 2.4.21. Wordfence stuft die Schwachstelle als kritisch ein.
Missbrauch des Debug-Mode
Angreifer, die mindestens die WordPress-Benutzerrolle Abonnent (Subscriber) innehatten, konnten laut Wordfence (unzureichende) Kontrollmechanismen umgehen, um in den Debug-Modus des Plugins zu gelangen. Von dort aus sei es möglich gewesen, beliebigen PHP-Code über die "Vorschau"-Funktion für die Werbeanzeigen auszuführen, um sich beispielsweise Zugangsdaten der WordPress-Installation ausgeben zu lassen .
Die Entwickler des verwundbaren Plugins veröffentlichten innerhalb von 24 Stunden, nachdem sie informiert wurden, eine abgesicherte Version. Wordfence rät Nutzern zum zeitnahen Umstieg auf Ad Inserter 2.4.22 [2]. (ovw [3])
URL dieses Artikels:
https://www.heise.de/-4471866
Links in diesem Artikel:
[1] https://www.wordfence.com/blog/2019/07/critical-vulnerability-patched-in-ad-inserter-plugin/
[2] https://wordpress.org/plugins/ad-inserter/#developers
[3] mailto:olivia.von.westernhagen@gmail.com
Copyright © 2019 Heise Medien