Adning Advertising WordPress Plugin Contém Vulnerabilidades Críticas - PT

de   |  Última atualização:  |  0 Comentários  

Nesta página: [ocultar]

  1. Vulnerabilidades no Adning Advertising Plugin: O que você deveria saber

No final de junho 2020, pesquisadores descobriram duas vulnerabilidades no plugin Adning Advertising. Um deles era crítico, com um CVSS (Sistema de pontuação comum de vulnerabilidades) pontuação de 10. O plugin Adning é um plugin premium com mais de 8,000 clientes. É um gerenciador de publicidade para sites WordPress. A solução ajuda os proprietários de sites a gerenciar seus anúncios.

Os pesquisadores do Wordfence descobriram uma falha alarmante no utilitário de publicidade. Eles analisaram as falhas de segurança e as revelaram ao autor, Atum.

A boa notícia é que a Tunafish lançou uma versão corrigida do plugin em menos de 24 horas. Todos os usuários devem atualizar suas versões para a versão de publicidade Adning 1.5.6 O mais breve possível. Esta versão corrige os pontos fracos.

Vulnerabilidades no Adning Advertising Plugin: O que você deveria saber

Os pesquisadores do Wordfence determinaram que os invasores exploraram as vulnerabilidades em ataques limitados.

A primeira vulnerabilidade recebeu uma pontuação CVSS de 10. Pode causar um upload de arquivo arbitrário não autenticado e ataques de execução remota de código. O bug afeta versões anteriores 1.5.6. Os usuários devem atualizar para a versão mais recente imediatamente.

A fraqueza vem da funcionalidade do plugin para fazer upload de imagens de banner. Para fornecer esta funcionalidade, o plug-in utilizou uma ação AJAX, _ning_upload_image. O problema origina-se da ação AJAX, que estava disponível com um nopriv_ hook. Isso significa que qualquer visitante do site pode aproveitá-lo, mesmo se eles não estavam logados, Wordfence disse.

A segunda vulnerabilidade obteve uma pontuação de 8.7. Pode causar exclusão de arquivo arbitrário não autenticado por meio de percurso de caminho. Uma ação ajax _ning_remove_image pode acionar o bug. Um invasor não autenticado pode ser capaz de excluir arquivos arbitrários usando a passagem de caminho.

além disso, se os invasores excluíram wp-config.php, eles redefiniriam o site WordPress afetado. Então, os atacantes poderiam configurá-lo novamente e apontar para um banco de dados remoto sob seu controle. Finalmente, eles substituiriam o conteúdo do site pelo seu próprio. Mais detalhes técnicos estão disponíveis no relatório oficial.

Este não é o primeiro caso de um plugin vulnerável. Se você quiser se manter informado sobre as últimas notícias de segurança do WordPress, siga HowToHosting.Guide.

Pesquisado e escrito por:
Editores de ComoHospedar
HowToHosting.guide fornece conhecimento e insights sobre o processo de criação de blogs e sites, encontrar o provedor de hospedagem certo, e tudo o que vem no meio. Consulte Mais informação...

Sem postagens relacionadas.

Deixe um comentário

seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados *

Este site usa cookies para melhorar a experiência do usuário. Ao usar nosso site, você concorda com todos os cookies de acordo com nosso Política de Privacidade.
Eu concordo
Em HowToHosting.Guide, oferecemos análises transparentes de hospedagem na web, garantindo a independência de influências externas. Nossas avaliações são imparciais, pois aplicamos padrões rigorosos e consistentes a todas as avaliações.
Embora possamos ganhar comissões de afiliados de algumas das empresas apresentadas, essas comissões não comprometem a integridade de nossas avaliações nem influenciam nossas classificações.
Os ganhos do afiliado contribuem para cobrir a aquisição de contas, despesas de teste, manutenção, e desenvolvimento do nosso site e sistemas internos.
Confie em howtohosting.guide para obter informações confiáveis e sinceridade sobre hospedagem.