广告插入器是一个流行的广告管理 WordPress 插件,被发现包含一个严重漏洞。该漏洞允许低至订阅者的经过身份验证的用户在受影响的网站上执行代码。建议插件用户立即更新。
这是WordPress仪表盘的截图。左上角是一个链接,可让您更新插件。广告插入器漏洞说明
其实有两个漏洞。
经过身份验证的路径遍历利用
第一个漏洞称为经过身份验证的路径遍历利用。此漏洞存在于 Ad Inserter 版本 2.4.19 及更早版本中。
这是一个漏洞,允许攻击者通过向 URL 添加变量来访问站点的区域,例如 ../ 等变量。这允许攻击者“旅行”到可能允许他们执行代码或查看私人信息的区域。
根据美国国土安全部维护的网站上关于遍历漏洞的常见弱点枚举 (CWE) 网页,路径遍历漏洞的工作原理如下:
< p > “该软件使用外部输入来构建路径名,以识别位于受限父目录下的文件或目录,但该软件无法正确消除路径名中可能导致路径名解析为位于受限目录之外的位置元素的特殊功能。 "
第二个漏洞被标记为严重。该错误由 WordFence 团队于 7 月 12 日星期五发现,并在第二天即 2019 年 7 月 13 日星期六迅速被 Ad Inserter 修复。
经过身份验证的远程代码执行
第二个漏洞称为经过身份验证的远程代码执行 (RCE)。这允许在该站点注册的任何用户以与订阅者一样低的权限在 WordPress 安装上执行任意代码。
RCE 漏洞影响 Ad Inserter 2.4.21 及更早版本。
根据 WordFence 网站:
“7 月 12 日星期五,我们的威胁情报团队在 Ad Inserter 中发现了一个漏洞,这是一个 WordPress 插件。该漏洞允许经过身份验证的用户(订阅者及以上)可以使用插件在网站上执行任意 PHP 代码。
我们私下向插件的开发人员披露了这个问题,他们在第二天发布了补丁。
p>
这被认为是一个严重的安全问题..."
广告插入器插件响应迅速且合乎道德
几乎所有插件和软件都可能包含漏洞。重要的是开发人员对问题的响应速度以及开发人员对问题的透明度。
广告插入器更改日志的屏幕截图,显示他们以道德方式回应并且透明地。
广告插入器团队的响应速度和更新透明度值得称赞。广告插入器通过每个用户的更新页面上可见的更新日志提醒用户注意此漏洞。这很重要,因为它提醒用户更新的紧迫性。
Ad Inserter 团队迅速且合乎道德地采取了行动。这是任何 WordPress 开发人员所能期待的最好结果。
更新广告插入器
Ad Inserter WordPress 插件的所有用户都被敦促登录到他们的 WordPress 安装并更新他们的 Ad Inserter 插件。
在此处阅读 WordFence 公告。
