Критический баг в плагине WordPress Ad Inserter позволяет выполнить код

Критический баг в плагине WordPress Ad Inserter позволяет выполнить код

Плагин для движка WordPress Ad Inserter установили более 200 тыс. сайтов. Исследователи предупреждают: плагин уязвим, аутентифицированный атакующий может удаленно выполнить PHP-код.

Ad Inserter позволяет владельцам сайтов управлять рекламой на своих ресурсах и размещать ее в оптимальных местах. Этот плагин поддерживает Google AdSense, Google Ad Manager, Amazon Native Shopping Ads, Media.net и ротацию баннеров.

Найденная в аддоне уязвимость существует из-за использования check_admin_referer() для авторизации. Изначально эта функция была призвана защитить сайты от CSRF-атак.

Брешь получила статус критической, она актуальна для всех сайтов на WordPress, где установлен Ad Inserter 2.4.21 или более старые версии плагина. Обновление плагина до версии 2.4.22 поможет устранить эту проблему.

По словам команды Wordfence, аутентифицированный атакующий может обойти проверку авторизации, которую реализует функция check_admin_referer(). В результате злоумышленник сможет получить доступ к режиму отладки, предусмотренному в Ad Inserter.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Байден рвётся в кибербой: США пообещали атаки против России

Запад пообещал в ближайшее время провести ряд кибератак, нацеленных на ИТ-системы, связанные с российскими властями. Таким образом, это станет ответом на действия Москвы, которую США не раз обвиняли в атаках (ни разу, кстати, не подкрепив свои обвинения вменяемыми доказательствами).

О готовящихся операциях в киберпространстве сообщило издание New York Times. Согласно опубликованной информации, «под раздачу» попадёт и Китай, в сторону которого также часто звучат обвинения в кибернападениях на сети США.

Вашингтон, судя по всему, считает, что проведение подобных ответных операций наглядно продемонстрирует странам-оппонентам отношение Байдена к противостоянию в цифровом пространстве. Дескать, мы тут не церемонимся.

Первые крупные шаги в этом направлении, по словам New York Times, Америка сделает в течение трёх недель. Вдогонку к кибератакам США пообещали подготовить ряд экономических санкций, которые также станут ответом на хакерские действия со стороны Кремля.

Напомним, что в конце октября 2020 года Запад обвинил российских киберпреступников во взломе государственных систем. В частности, участие Кремля в этой кибероперации подтвердили представители Агентства кибербезопасности и защиты инфраструктуры (CISA) США и ФБР.

В том же месяце президент России Владимир Путин выразил надежду на взаимодействие с США по части обеспечения кибербезопасности обеих стран. Глава РФ при этом подчеркнул, что Вашингтон ранее проигнорировал призыв возобновить сотрудничество в сфере кибербезопасности.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru