WordPress-Nutzer, die das Plug-In 'Ad Inserter' verwenden, sollten dringend auf die Version 2.4.22 aktualisieren, falls dieses nicht automatisch aktualisiert wurde. Grund ist eine gravierende Schwachstelle in früheren Versionen.
Anzeige
Die Sicherheitspezialisten von WordFence haben eine kritische Schwachstelle in älteren Versionen des Plugin Ad Inserter festgestellt. Die Schwachstelle wurde am 12. Juli 2019 vom Threat Intelligence-Team entdeckt. Die Schwachstelle erlaubte es authentifizierten Benutzern (Abonnenten und höher), beliebigen PHP-Code auf Websites im Debug-Modus mit dem Plugin auszuführen. Die Entwickler haben das Problem privat an den Entwickler des Plugins weitergegeben, der bereits am nächsten Tag einen Patch veröffentlicht hat. Eine deutschsprachige Detailbeschreibung findet sich bei heise.
Das Plugin 'Ad Inserter' ist recht popular und wurde auf über 200.000 Websites installiert. Es ermöglicht Werbung in WordPress-Seiten auf komfortable Weise einzublenden. Ich selbst setze das Plugin seit einiger Zeit ein, da das von mir ursprünglich verwendete Plugin plötzlich Videowerbung des Entwicklers einband. Der Ad Inserter erfordert zwar einiges an Arbeit, wenn es aber mal läuft, stellt das ein mächtiges Werkzeug dar. Hier im Blog hat sich das Plugin automatisch aktualisiert – ich hatte das mitbekommen, mir aber die Details nicht angeschaut.
Das Risiko durch die Schwachstelle war hier im Blog praktisch 0, da ich der einzige Benutzer mit Administratorrechten bin. Zudem lasse ich ein Plugin von WordFence mitlaufen, was auch einen Malware-Scan ausführt.
2015
