Popup Builder WordPress插件中的漏洞可能允许未经身份验证的攻击者向显示在成千上万个网站上的弹出窗口注入恶意JavaScript代码,以窃取信息,并有可能完全接管目标站点。
Popup Builder 使网站所有者可以创建,部署和管理可自定义的弹出窗口,其中包含从HTML和JavaScript代码到图像和视频的各种内容。
插件的开发者Sygnoos将其作为一种工具进行市场营销,该工具可以通过用于显示广告,订阅请求,折扣和各种其他类型的促销内容的智能弹出窗口来帮助增加销售和收入。
未经身份验证的XSS和信息泄露漏洞
Defiant质量检查工程师Ram Gall发现的安全漏洞会影响所有版本,包括Popup Builder 3.63。
Gall说: “一个漏洞允许未经身份验证的攻击者将恶意JavaScript注入任何已发布的弹出窗口中,然后在弹出窗口加载后立即执行。”
“通常,攻击者使用这种漏洞将站点访问者重定向到恶意站点或从其浏览器中窃取敏感信息,但是如果管理员在登录时访问或预览了包含受感染弹出窗口的页面,也可以将其用于站点接管。”
另一个错误使任何已登录用户(权限低至订阅者)都可以访问插件功能,导出新闻通讯订阅者列表,以及通过简单的POST请求将系统配置信息导出给admin- post.php。
漏洞已修补,成千上万的漏洞仍然存在
跟踪为 CVE-2020-10196和 CVE-2020-10195的缺陷 允许未经身份验证的存储XSS,配置公开,用户数据导出和网站设置修改。
在Defiant报告这些错误之后一周,Sygnoos修复了Popup Builder版本3.64.1的安全问题。
自固定的Popup Builder版本发布以来,仅33,000多名用户更新了该插件,该插件仍使超过66,000个站点的有效安装受到攻击。
“虽然我们没有发现任何针对Popup Builder的恶意活动,但是存储的XSS漏洞可能会对网站访问者造成严重影响,甚至可能允许网站接管,” Gall补充说。
自2月下旬以来,黑客一直在积极尝试通过利用插件漏洞来接管WordPress网站,这些漏洞使他们可以植入后门并创建流氓管理员帐户, 成千上万的网站受到攻击。
*编译:Domino
*来自:BLeeping