Критический баг в плагине WordPress Ad Inserter позволяет выполнить код

Критический баг в плагине WordPress Ad Inserter позволяет выполнить код

Плагин для движка WordPress Ad Inserter установили более 200 тыс. сайтов. Исследователи предупреждают: плагин уязвим, аутентифицированный атакующий может удаленно выполнить PHP-код.

Ad Inserter позволяет владельцам сайтов управлять рекламой на своих ресурсах и размещать ее в оптимальных местах. Этот плагин поддерживает Google AdSense, Google Ad Manager, Amazon Native Shopping Ads, Media.net и ротацию баннеров.

Найденная в аддоне уязвимость существует из-за использования check_admin_referer() для авторизации. Изначально эта функция была призвана защитить сайты от CSRF-атак.

Брешь получила статус критической, она актуальна для всех сайтов на WordPress, где установлен Ad Inserter 2.4.21 или более старые версии плагина. Обновление плагина до версии 2.4.22 поможет устранить эту проблему.

По словам команды Wordfence, аутентифицированный атакующий может обойти проверку авторизации, которую реализует функция check_admin_referer(). В результате злоумышленник сможет получить доступ к режиму отладки, предусмотренному в Ad Inserter.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Спустя 10 лет дождались: 1Password придёт на Linux

Разработчики менеджера паролей 1Password наконец услышали просьбы пользователей Linux, которые уже лет десять просят сделать версию программы под их любимую операционную систему. На данный момент Linux-версия софта находится в стадии закрытого тестирования.

Согласно размещённой информации, в настоящее время приложение работает только в режиме чтения. Нет возможности отредактировать учётные данные или создать новую запись.

Если вам интересно попробовать продукт в таком виде, никто вам не запретит, однако стоит всё же учитывать, что он далёк от окончательной версии. В готовом же варианте 1Password для Linux разработчики обещают реализовать поддержку сетевых паролей: FTP, SSH и SMB.

На бэкенд-стороне 1Password работает на языке программирования Rust, для сквозного шифрования используется библиотека с открытым исходным кодом.

Интерфейс приложения разработчики пишут при помощи JavaScript-библиотеки React.

Если вы работаете в команде, разрабатывающей проекты с открытым исходным кодом, создатели 1Password смогут предоставить вам бесплатный аккаунт. Для этого нужно оставить запрос здесь.

1Password синхронизирует данные пользователей на собственных серверах. При этом разработчики подчёркивают, что компания не отслеживает своих клиентов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru