Критический баг в плагине WordPress Ad Inserter позволяет выполнить код

Критический баг в плагине WordPress Ad Inserter позволяет выполнить код

Критический баг в плагине WordPress Ad Inserter позволяет выполнить код

Плагин для движка WordPress Ad Inserter установили более 200 тыс. сайтов. Исследователи предупреждают: плагин уязвим, аутентифицированный атакующий может удаленно выполнить PHP-код.

Ad Inserter позволяет владельцам сайтов управлять рекламой на своих ресурсах и размещать ее в оптимальных местах. Этот плагин поддерживает Google AdSense, Google Ad Manager, Amazon Native Shopping Ads, Media.net и ротацию баннеров.

Найденная в аддоне уязвимость существует из-за использования check_admin_referer() для авторизации. Изначально эта функция была призвана защитить сайты от CSRF-атак.

Брешь получила статус критической, она актуальна для всех сайтов на WordPress, где установлен Ad Inserter 2.4.21 или более старые версии плагина. Обновление плагина до версии 2.4.22 поможет устранить эту проблему.

По словам команды Wordfence, аутентифицированный атакующий может обойти проверку авторизации, которую реализует функция check_admin_referer(). В результате злоумышленник сможет получить доступ к режиму отладки, предусмотренному в Ad Inserter.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России уточнили порядок доступа к гостайне

Правительство уточнило порядок допуска к государственной тайне. Теперь сотрудников, утративших право на доступ к гостайне, будут отстранять от работы с соответствующими сведениями в день получения заключения о недопуске.

С новой редакцией документа ознакомился ТАСС. Ранее сроки отстранения граждан, которых решили лишить допуска, не были чётко определены. Теперь предлагается делать это в тот же день, когда получено соответствующее заключение.

Кроме того, уточнён порядок действий в случае появления оснований для недопуска сотрудника к государственной тайне.

К таким основаниям относятся: недееспособность, наличие медицинских противопоказаний, гражданство другого государства или постоянное проживание за границей самого сотрудника либо его ближайших родственников, включение в реестр иностранных агентов, действия, создающие угрозу безопасности РФ, уклонение от проверок, заведомо ложные сведения в анкете, а также нарушение законодательства о гостайне.

В этих случаях прекращение или переоформление допуска будет происходить незамедлительно. Ранее эта процедура занимала больше времени и была более сложной.

Также конкретизирован порядок принятия решений в отношении заместителей министров и руководителей ведомств, в отношении которых возникли основания для недопуска к гостайне.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru