Ad Inserter plugin: security update

Ad Inserter

Ad Inserter is een populaire WordPress plugin voor het beheren van advertenties. Afgelopen week bleek dat de plugin twee kritieke kwetsbaarheden bevatte. De ontwikkelaar heeft inmiddels een update uitgebracht om de kwetsbaarheden te patchen. Gebruikers worden geadviseerd om zo snel mogelijk te updaten.

Over Ad Inserter

Ad Inserter is bedoeld om advertenties op je WordPress website te plaatsen. De plugin, die meer dan 200.000 gebruikers heeft, biedt ondersteuning voor diverse soorten advertenties. Hierbij kun je denken aan Google AdSense, Google Ad Manager, Amazon Native Shopping advertenties, Media.net en roterende banners.

Kwetsbaarheden in Ad Inserter plugin

De eerste kwetsbaarheid betrof een zogeheten Authenticated Path Traversal Exploit. Door variabelen aan de URL toe te voegen, zoals ../, konden hackers toegang verkrijgen tot afgeschermde delen van de website. Op die manier zou een hacker als het ware door de website-structuur kunnen wandelen tot hij op een punt komt waar hij schade zou kunnen aanrichten.

De tweede kwetsbaarheid betrof een Authenticated Remote Code Execution (RCE). Hiermee kon elke gebruiker die op de website geregistreerd is, zelfs al is het maar als abonnee, arbitraire code op de WordPress installatie uitvoeren.

Directe actie

Elke plugin kan een kwetsbaarheid bevatten. Maar hoe snel ontwikkelaars op eventuele problemen reageren, en hoe transparant ze daarover zijn, dat is wat belangrijk is. Het Ad Inserter team heeft wat dat betreft zeer goed gehandeld. De kwetsbaarheden werden op vrijdag 12 juli ontdekt door het WordFence team, dat meteen de ontwikkelaar van de Ad Inserter plugin op de hoogte bracht. Die had de volgende dag al een update beschikbaar om de kwetsbaarheden te verhelpen.

Ze kwamen direct in actie en informeerden gebruikers over de kwetsbaarheden via de changelog, die op de update-pagina van elke gebruiker zichtbaar is. Dit is belangrijk omdat het gebruikers op de urgentie van de update attendeert. Meer kun je van een plugin ontwikkelaar eigenlijk niet verwachten.

 

Lees ook: Geld verdienen met Google Adsense en WordPress

 

Geef een reactie