流行的 WordPress Plugin Popup Builder 被发现有多个漏洞。 这些漏洞可能允许攻击者将恶意 JavaScript 注入弹出窗口。
发现 Popup Builder 插件中的漏洞
该漏洞由 WordFence 于 2020 年 3 月 4 日发现,随后联系了开发人员。 WordPress 插件漏洞影响低于 3.64.1 版本的 Popup Builder 版本。
一周后的 3 月 11 日,插件开发人员上传了一个补丁文件,此时更新的插件可供下载。
变更日志
变更日志是对更新内容的解释。 重要的是更改日志具有描述性,以便插件用户可以知道某些事情是紧急的。
不幸的是,一些 WordPress 插件开发人员要么不提及安全问题,要么用模糊和笼统的术语描述它。
Popup Builder 插件的更新日志指出有一个安全更新,但没有提及它的严重性或重要性。 它含糊不清,但至少他们透露该更新解决了安全问题。
该更新被描述为“安全修复”,它从技术上传达安全问题已被修补,但并未提供这种严重漏洞所必需的紧迫感。
这是 Popup Builder 的更新日志的屏幕截图:
什么是漏洞?
有两个漏洞。 第一个漏洞允许有人在弹出窗口中插入有害的 JavaScript。
第二个漏洞允许攻击者下载订阅者列表并获得对众多插件功能的访问权限。
此漏洞影响超过 100,000 名插件用户。 发布者下载和更新他们的插件很重要。
根据安全插件制造商 Wordfence 的说法:
“通常,攻击者使用这样的漏洞将网站访问者重定向到恶意网站或从他们的浏览器中窃取敏感信息,但如果管理员在登录时访问或预览包含受感染弹出窗口的页面,它也可以用于站点接管。”
更新此插件非常重要。 不这样做可能会邀请黑客接管网站。
阅读 WordFence 的公告:
