Es wurde festgestellt, dass der beliebte Popup-Plugin-Popup-Builder mehrere Sicherheitslücken aufweist. Diese Sicherheitsanfälligkeiten können es einem Angreifer ermöglichen, schädliches JavaScript in ein Popup-Fenster einzufügen.
Sicherheitslücke im Popup Builder Plugin entdeckt
Die Sicherheitsanfälligkeit wurde am 4. März 2020 von WordFence entdeckt und die Entwickler wurden anschließend kontaktiert. Die Sicherheitsanfälligkeit bezüglich des WordPress-Plugins betrifft Versionen von Popup Builder, die niedriger als Version 3.64.1 sind.
Die Entwickler des Plugins haben eine Woche später, am 11. März, eine gepatchte Datei hochgeladen, als das aktualisierte Plugin zum Download zur Verfügung stand.
Protokoll ändern
Ein Changelog erklärt, worum es bei einem Update geht. Es ist wichtig, dass ein Änderungsprotokoll beschreibend ist, damit der Benutzer des Plugins weiß, dass etwas dringend ist.
Leider erwähnen einige WordPress-Plugin-Entwickler das Sicherheitsproblem nicht und beschreiben es nicht vage und allgemein.
Das Änderungsprotokoll für das Popup Builder-Plug-In zeigt an, dass ein Sicherheitsupdate vorliegt, erwähnt jedoch nicht den Schweregrad oder die Bedeutung des Updates. Es ist vage, aber zumindest zeigen sie, dass das Update ein Sicherheitsproblem behebt.
Das Update wird als "Sicherheitskorrekturen" bezeichnet. Es wird technisch gemeldet, dass ein Sicherheitsproblem behoben wurde, bietet jedoch nicht das Gefühl der Dringlichkeit, das für eine Sicherheitsanfälligkeit dieses Schweregrads erforderlich ist.
Hier ist ein Screenshot des Popup Builder-Änderungsprotokolls:
Was sind die Schwachstellen?
Es gibt zwei Schwachstellen. Die erste Sicherheitsanfälligkeit ermöglicht es jemandem, schädliches JavaScript in ein Popup-Fenster einzufügen.
Die zweite Sicherheitsanfälligkeit ermöglicht es dem Angreifer, Abonnentenlisten herunterzuladen und auf zahlreiche Plugin-Funktionen zuzugreifen.
Diese Sicherheitsanfälligkeit betrifft mehr als 100.000 Plugin-Benutzer. Es ist wichtig, dass Publisher ihre Plugins herunterladen und aktualisieren.
Laut dem Hersteller von Wordfence-Sicherheits-Plugins:
"Angreifer verwenden im Allgemeinen eine solche Sicherheitsanfälligkeit, um Website-Besucher auf böswillige Werbeseiten umzuleiten oder vertrauliche Informationen aus ihren Browsern zu stehlen. Sie können jedoch auch verwendet werden, um die Website zu übernehmen, wenn ein Administrator eine Website besucht oder eine Vorschau anzeigt Seite mit infiziertem Popup während der Verbindung. "
Es ist sehr wichtig, dieses Plugin zu aktualisieren. Andernfalls könnten Sie Hacker einladen, eine Site zu übernehmen.
Lesen Sie die WordFence-Ankündigung:
Sicherheitslücken im Popup Builder-Plugin, die über 100.000 Websites betreffen
