В плагіні Ad Inserter для WordPress, встановленому на більш ніж 200 000 сайтів, знайшли уразливість, яка дозволяє зловмисникові віддалено виконати PHP-код. Уразливість зачіпає всі web-сайти на WordPress з встановленою версією Ad Inserter 2.4.21 або нижче.
Ad Inserter – плагін для керування рекламою з розширеними функціями для розміщення оголошень на оптимальних позиціях. Він підтримує всі види реклами, включаючи Google AdSense, Google Ad Manager (DFP – DoubleClick для видавців), контекстну Amazon Native Shopping Ads, Media.net і мінливі банери.
За словами дослідників з Wordfence, уразливість пов’язана з використанням функції check_admin_referer () для авторизації, призначеної для захисту сайтів на WordPress від CSRF-атак. Ця функція перевіряє наявність в запиті одноразових кодів (одноразовий токен, застосовуваний для запобігання обробки небажаних повторюваних або шкідливих запитів). Практика розрахована на те, що одноразовий код може бути доступний тільки користувачам з належними правами. Однак розробники WordPress застерігають від використання одноразових кодів і вказують в офіційній документації, що “ніколи не слід покладатися на одноразові коди для аутентифікації або авторизації, контролю доступу”.
Маючи в наявності одноразовий код, аутентифіковані зловмисники можуть обійти перевірку авторизації і отримати доступ до режиму налаштування, що надається плагіном Ad Inserter.
Зазвичай ці функції налагодження доступні тільки адміністраторам, пояснюють дослідники. Під час активації деяких налаштувань майже на кожній сторінці вмикається код JavaScript, що містить валідний одноразовий код для дії ai_ajax_backend. Як тільки зловмисник отримає одноразовий код, він може активувати налагодження і проексплуатувати функцію попереднього перегляду реклами шляхом відправлення шкідливого корисного навантаження з довільним PHP-кодом.
Розробники Ad Inserter вже випустили виправлену версію плагіна. Адміністраторам сайтів на WordPress настійно рекомендується оновити Ad Inserter до версії 2.4.22.
До речі, Ви знаєте, що таке NFC, які має переваги і особливості? Адже сьогодні вона є головною бездротовою технологією завдяки поширенню систем безконтактних платежів.
Також фахівці Check Point виявили новий вид шкідливого ПЗ для Android, який встиг заразити більше 25 млн пристроїв.
Стало відомо, що Facebook вбудовує приховані коди в фотографії, завантажені користувачами на сайт. Компанія може відстежувати пов’язану з ними активність і використовувати ці дані для таргетованої реклами.
Окрім цього, Команда дослідників, в яку увійшли представники чотирьох університетів США, вивчили технологію Secure Encrypted Virtualization (SEV) від компанії AMD і виявили, що при певних обставинах зловмисники можуть обійти її захист.
