WordPress Popup Builder 包含严重漏洞

流行的 WordPress Plugin Popup Builder 被发现有多个漏洞。 这些漏洞可能允许攻击者将恶意 JavaScript 注入弹出窗口。

发现 Popup Builder 插件中的漏洞

该漏洞由 WordFence 于 2020 年 3 月 4 日发现,随后联系了开发人员。 WordPress 插件漏洞影响低于 3.64.1 版本的 Popup Builder 版本。

一周后的 3 月 11 日,插件开发人员上传了一个补丁文件,此时更新的插件可供下载。

变更日志

变更日志是对更新内容的解释。 重要的是更改日志具有描述性,以便插件用户可以知道某些事情是紧急的。

不幸的是,一些 WordPress 插件开发人员要么不提及安全问题,要么用模糊和笼统的术语描述它。

Popup Builder 插件的更新日志指出有一个安全更新,但没有提及它的严重性或重要性。 它含糊不清,但至少他们透露该更新解决了安全问题。

该更新被描述为“安全修复”,它从技术上传达安全问题已被修补,但并未提供这种严重漏洞所必需的紧迫感。

这是 Popup Builder 的更新日志的屏幕截图:

什么是漏洞?

有两个漏洞。 第一个漏洞允许有人在弹出窗口中插入有害的 JavaScript。

第二个漏洞允许攻击者下载订阅者列表并获得对众多插件功能的访问权限。

此漏洞影响超过 100,000 名插件用户。 发布者下载和更新他们的插件很重要。

根据安全插件制造商 Wordfence 的说法:

“通常,攻击者使用这样的漏洞将网站访问者重定向到恶意网站或从他们的浏览器中窃取敏感信息,但如果管理员在登录时访问或预览包含受感染弹出窗口的页面,它也可以用于站点接管。”

更新此插件非常重要。 不这样做可能会邀请黑客接管网站。

阅读 WordFence 的公告:

影响超过 100,000 个站点的 Popup Builder 插件中修补的漏洞

给TA打赏
共{{data.count}}人
人已打赏

GoogleBot 对购物车做了什么……以及为什么

2020-7-3 18:13:41

Google Search Ads 360 更新:以下是新功能

2022-2-12 1:44:46

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索