Уязвимость в плагине для WordPress позволяла удаленно выполнять PHP-код

Уязвимость в плагине для WordPress позволяла удаленно выполнять PHP-код

Уязвимость обнаружена в плагине Ad Inserter для Wordpress, установленном на более чем 200 000 сайтах.

image

В плагине Ad Inserter для WordPress, установленном на более чем 200 000 сайтах, нашли уязвимость, позволяющую злоумышленнику удаленно выполнить PHP-код. Уязвимость затрагивает все web-сайты на WordPress с установленной версией Ad Inserter 2.4.21 или ниже.

Ad Inserter — плагин для управления рекламой c расширенными функциями для размещения объявлений на оптимальных позициях. Он поддерживает все виды рекламы, включая Google AdSense, Google Ad Manager (DFP — DoubleClick для издателей), контекстную Amazon Native Shopping Ads, Media.net и меняющиеся баннеры.

По словам исследователей из Wordfence, уязвимость связана с использованием функции check_admin_referer () для авторизации, предназначенной для защиты сайтов на WordPress от CSRF-атак. Данная функция проверяет наличие в запросе одноразовых кодов (одноразовый токен, применяемый для предотвращения обработки нежелательных повторяемых, истекших или вредоносных запросов). Практика рассчитана на то, что одноразовый код может быть доступен только пользователям с надлежащими правами. Однако разработчики WordPress предостерегают от использования одноразовых кодов и указывают в официальной документации, что «никогда не следует полагаться на одноразовые коды для аутентификации или авторизации, контроля доступа».

Имея в наличии одноразовый код, аутентифицированные злоумышленники могут обойти проверку авторизации и получить доступ к режиму отладки, предоставляемому плагином Ad Inserter.

Обычно эти функции отладки доступны только администраторам, поясняют исследователи. При активации некоторых настроек почти на каждой странице включается код JavaScript, содержащий валидный одноразовый код для действия ai_ajax_backend. Как только злоумышленник получит одноразовый код, он может активировать отладку и проэксплуатировать функцию предварительного просмотра рекламы путем отправки вредоносной полезной нагрузки с произвольным PHP-кодом.

Разработчики Ad Inserter уже выпустили исправленную версию плагина. Администраторам сайтов на WordPress настоятельно рекомендуется обновить Ad Inserter до версии 2.4.22.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle