Vulnerabilidad crítica parcheada en el complemento insertador de anuncios de WordPress

Descripción: Ejecución de código remoto autenticado
Complemento afectado: Ad Inserter
Versiones afectadas: <= 2.4.21
Puntuación CVSS: 9.9 (Crítico)
CVSS Vector: CVSS: 3.0 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

El viernes 12 de julio, el equipo de Wordfence de Threat Intelligence descubrió una vulnerabilidad presente en Ad Inserter, un complemento de WordPress instalado en más de 200,000 sitios web. La vulnerabilidad permitió a los usuarios autenticados (suscriptores y superiores) ejecutar código PHP arbitrario en los sitios web utilizando el complemento. Wordfence advirtió en privado el problema al desarrollador del complemento, quien lanzó un parche al día siguiente.

Esto se considera un problema de seguridad crítico, y los sitios web que ejecutan Ad Inserter 2.4.21 o inferior deben actualizarse a la versión 2.4.22 de inmediato. El mismo día en que Wordfence descubrió la vulnerabilidad, los clientes de Wordfence Premium recibieron una nueva regla de firewall para protegerse contra las vulnerabilidades; Los usuarios libres recibirán la regla después de treinta días.

Ad Inserter es un complemento de administración de anuncios que admite todos los tipos de anuncios e incluye opciones avanzadas para insertar formularios opt-in, scripts de encabezado, Javascript, CSS, HTML, análisis, seguimiento o códigos de publicidad en cualquier lugar de la página. El complemento también tiene una función de vista previa de anuncios que los administradores pueden usar para verificar que los bloques de anuncios están configurados correctamente antes de publicarlos para que los visitantes del sitio puedan verlos.

Fuente