このページで: [隠れる]
6月下旬 2020, 研究者は、AdningAdvertisingプラグインに2つの脆弱性を発見しました. それらの1つは重要でした, CVSSで (一般的な脆弱性スコアリングシステム) のスコア 10. Adningプラグインは、 8,000 顧客. WordPressサイトの広告マネージャーです. このソリューションは、サイト所有者が広告を管理するのに役立ちます.
Wordfenceの研究者は、広告ユーティリティの驚くべき弱点を発見しました. 彼らはセキュリティ上の欠陥を分析し、それらを作成者に開示しました, マグロ.
幸いなことに、Tunafishはパッチを適用したバージョンのプラグインを 24 時間. すべてのユーザーは、バージョンをAdningAdvertisingバージョンにアップグレードする必要があります 1.5.6 できるだけ早く. このバージョンは弱点を修正します.
AdningAdvertisingプラグインの脆弱性: 知っておくべきこと
Wordfenceの研究者は、攻撃者が限定的な攻撃の脆弱性を悪用したと判断しました.
最初の脆弱性はCVSSスコアを受け取りました 10. 認証されていない任意のファイルのアップロードやリモートコード実行攻撃を引き起こす可能性があります. バグは以前のバージョンに影響します 1.5.6. ユーザーはすぐに最新バージョンに更新する必要があります.
弱点は、バナー画像をアップロードするプラグインの機能に起因します. この機能を提供するには, プラグインはAJAXアクションを利用しました, _ning_upload_image. この問題はAJAXアクションに起因します, これはnopriv_フックで利用可能でした. これは、サイトへの訪問者がそれを活用できることを意味します, ログインしていなくても, ワードフェンスは言った.
2番目の脆弱性のスコアは 8.7. It can cause Unauthenticated Arbitrary File Deletion via path traversal. An ajax action _ning_remove_image could trigger the bug. An unauthenticated attacker could be capable of deleting arbitrary files using path traversal.
さらに, if attackers deleted wp-config.php, they would reset the affected WordPress site. それで, the attackers could set it up again and point it to a remote database under their control. ついに, they would replace the site’s content with their own. もっと technical details are available in the official report.
これは脆弱なプラグインの最初のケースではありません. 最新のWordPressセキュリティニュースに関する最新情報を入手したい場合, HowToHosting.Guideに従ってください.