WordPress插件Popup Builder含有可被接管的安全漏洞,影响超过10万网站

WordPress的安全插件程序开发团队Wordfence在本周指出,热门的WordPress插件程序Popup Builder含有一个安全漏洞,将允许黑客接管WordPress网站,且波及超过10万个网站,Wordfence呼吁Popup Builder用户,应尽快更新到已修补的版本。

Popup Builder允许用户通过拖拽来创建跳出窗口,以吸引访问者的目光,内容可能是新产品、优惠方案或订阅服务,有超过10万个WordPress网站安装这个插件程序。

不过,Wordfence的威胁情报团队在3月初发现,该插件程序含有许多漏洞,其中一个漏洞,允许黑客在Popup Builder所发布的任何窗口,注入恶意的JavaScript,以在加载的时候执行。另一个漏洞则允许任何登录的用户,就算是拥有最小权限的订阅用户,都能导出订阅者名单、系统配置信息,或是允许他们访问该插件程序的各种功能。

研究人员说明,在第一个允许黑客注入恶意JavaScript的漏洞中,通常是用来将用户跳转至其它的恶意网站,或者是窃取用户浏览器中的机密信息,但假设是一个网站管理员在登录时,访问或预览了含有该恶意窗口的页面,黑客便有可能接管他的网站。

Wordfence在今年3月4日提报了相关漏洞之后,Popup Builder已于3月11日发布了修补所有漏洞的3.64.1版。