2019
17.07
WordPress-Plugin – Ad Inserter: Kritische Schwachstelle behoben

In „Ad Inserter“, einem Plugin zum Verwalten und optimalen Platzieren von Werbeanzeigen auf WordPress-Webseiten, steckte bis vor kurzem eine Schwachstelle, die authentifizierten Angreifern das Ausführen beliebigen Programmcodes aus der Ferne ermöglicht hätte. Das Entwicklerteam des Sicherheits-Plugins WordFence hat die Schwachstelle entdeckt und einen Sicherheitshinweis veröffentlicht. Demnach betrifft sie alle Ad-Inserter-Versionen bis einschließlich 2.4.21. Wordfence stuft die Schwachstelle als kritisch ein. Angreifer, die mindestens die WordPress-Benutzerrolle Abonnent (Subscriber) innehatten, konnten laut Wordfence (unzureichende) Kontrollmechanismen umgehen, um in den Debug-Modus des Plugins zu gelangen. Von dort aus sei es möglich gewesen, beliebigen PHP-Code über die „Vorschau“-Funktion für die Werbeanzeigen auszuführen, um sich beispielsweise Zugangsdaten der WordPress-Installation ausgeben zu lassen.

Die Entwickler des verwundbaren Plugins veröffentlichten innerhalb von 24 Stunden nachdem sie informiert wurden eine abgesicherte Version. WordFence rät Nutzern zum zeitnahen Umstieg auf Ad Inserter 2.4.22.

zurück