Menü
Alert!

WordPress: Entwickler des Plugins "Ad Inserter" fixen kritische Schwachstelle

Vor Version 2.4.22 erlaubte eine Schwachstelle im Ad-Management-Plugin "Ad Inserter" angemeldeten Angreifern die Remote Code Execution.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge

(Bild: wordpress.org / Screenshot)

Von

In "Ad Inserter", einem Plugin zum Verwalten und optimalen Platzieren von Werbeanzeigen auf WordPress-Webseiten, steckte bis vor kurzem eine Schwachstelle, die authentifizierten Angreifern das Ausführen beliebigen Programmcodes aus der Ferne ermöglicht hätte.

Das Entwicklerteam des Sicherheits-Plugins "Wordfence" hat die Schwachstelle entdeckt und einen Sicherheitshinweis veröffentlicht. Demnach betrifft sie alle Ad-Inserter-Versionen bis einschließlich 2.4.21. Wordfence stuft die Schwachstelle als kritisch ein.

Angreifer, die mindestens die WordPress-Benutzerrolle Abonnent (Subscriber) innehatten, konnten laut Wordfence (unzureichende) Kontrollmechanismen umgehen, um in den Debug-Modus des Plugins zu gelangen. Von dort aus sei es möglich gewesen, beliebigen PHP-Code über die "Vorschau"-Funktion für die Werbeanzeigen auszuführen, um sich beispielsweise Zugangsdaten der WordPress-Installation ausgeben zu lassen .

Die Entwickler des verwundbaren Plugins veröffentlichten innerhalb von 24 Stunden, nachdem sie informiert wurden, eine abgesicherte Version. Wordfence rät Nutzern zum zeitnahen Umstieg auf Ad Inserter 2.4.22. (ovw)