WordPress Popup Builder innehÄller allvarliga sÄrbarheter

Den populÀra Popup Plugin Popup Builder visade sig ha flera sÄrbarheter. Dessa sÄrbarheter kan göra det möjligt för en angripare att injicera skadlig JavaScript i ett popup-fönster.

SÄrbarhet i Popup Builder Plugin upptÀcktes

SÄrbarheten upptÀcktes av WordFence pÄ 4 Mars 2020 och kontaktade dÀrefter utvecklarna. WordPress-plugin-sÄrbarheten pÄverkar versioner av Popup Builder som Àr lÀgre Àn versionen 30,64.1.

Utvecklaren av plugin laddade upp en korrigerad fil en vecka senare, den 11 mars, dÄ den uppdaterade plugin var tillgÀnglig för nedladdning.

Ändra logg

En changelog Àr en förklaring av vad en uppdatering handlar om. Det Àr viktigt att en Àndringslogg Àr beskrivande sÄ att anvÀndaren av plugin kan veta att nÄgot Àr brÄdskande.

TyvÀrr nÀmner vissa WordPress-pluginutvecklare inte sÀkerhetsproblemet eller beskriver det i vaga och generiska termer.

Ändringsloggen för tillĂ€gget Popup Builder pĂ„pekar att det finns en sĂ€kerhetsuppdatering, men nĂ€mner inte uppdateringens svĂ„righet eller betydelse. Det Ă€r vagt, men Ă„tminstone avslöjar de att uppdateringen tar upp ett sĂ€kerhetsproblem.

Uppdateringen beskrivs som "SÀkerhetsfixar", som tekniskt rapporterar att ett sÀkerhetsproblem har lösts, men inte ger den kÀnsla av brÄdskandehet som Àr nödvÀndig för en sÄrbarhet i denna svÄrighetsgrad.

HÀr Àr en skÀrmdump av changelog Popup Builder:

skÀrmdump av WordPress Builder Builder plugin changelog

Vilka Àr sÄrbarheterna?

Det finns tvÄ sÄrbarheter. Den första sÄrbarheten gör att nÄgon kan infoga skadligt JavaScript i ett popup-fönster.

Den andra sÄrbarheten gör att angriparen kan ladda ner abonnentlistor och fÄ tillgÄng till flera plugin-funktioner.

Den hÀr sÄrbarheten pÄverkar mer Àn 100 000 plugin-anvÀndare. Det Àr viktigt att utgivare laddar ner och uppdaterar sina plugins.

Enligt tillverkaren av Wordfence-sÀkerhetsplugins:

"Angripare anvÀnder vanligtvis en sÄrbarhet som denna för att omdirigera webbplatsbesökare till skadliga reklamwebbplatser eller stjÀla konfidentiell information frÄn sina webblÀsare, Àven om den ocksÄ kan anvÀndas för att ta över webbplatsen om en administratör besöker eller förhandsgranskar en sida som innehÄller infekterad popup vid anslutning. "

Det Àr mycket viktigt att uppdatera detta plugin. Annars kan du bjuda hackare att ta över en webbplats.

LÀs WordFence-tillkÀnnagivandet:

SÄrbarheter lappades i Popup Builder-plugin som pÄverkar över 100 000 webbplatser

0 Shares