Trình tạo Popup Plugin Popup phổ biến đã được tìm thấy có nhiều lỗ hổng. Những lỗ hổng này có thể cho phép kẻ tấn công tiêm JavaScript độc hại vào cửa sổ bật lên.
Phát hiện lỗ hổng trong Plugin Popup Builder
Lỗ hổng được WordFence phát hiện trên 4 Tháng 3 năm 2020 và sau đó đã liên hệ với các nhà phát triển. Lỗ hổng plugin WordPress ảnh hưởng đến các phiên bản Popup Builder thấp hơn phiên bản 3.64.1.
Các nhà phát triển của plugin đã tải lên một tệp vá một tuần sau đó, vào ngày 11 tháng 3, khi plugin cập nhật có sẵn để tải xuống.
Thay đổi nhật ký
Một thay đổi là một lời giải thích về những gì một bản cập nhật là tất cả về. Điều quan trọng là một nhật ký thay đổi là mô tả để người dùng plugin có thể biết rằng có gì đó khẩn cấp.
Thật không may, một số nhà phát triển plugin WordPress không đề cập đến vấn đề bảo mật hoặc mô tả nó bằng các thuật ngữ mơ hồ và chung chung.
Thay đổi cho bổ trợ Popup Builder chỉ ra rằng có một bản cập nhật bảo mật, nhưng không đề cập đến mức độ nghiêm trọng hoặc tầm quan trọng của bản cập nhật. Thật mơ hồ, nhưng ít nhất họ tiết lộ rằng bản cập nhật giải quyết vấn đề bảo mật.
Bản cập nhật được mô tả là "Sửa lỗi bảo mật", về mặt kỹ thuật báo cáo rằng vấn đề bảo mật đã được giải quyết, nhưng không mang lại cảm giác cấp bách cần thiết cho lỗ hổng nghiêm trọng này.
Dưới đây là ảnh chụp màn hình của thay đổi Popup Builder:
Các lỗ hổng là gì?
Có hai lỗ hổng. Lỗ hổng đầu tiên cho phép ai đó chèn JavaScript có hại vào cửa sổ bật lên.
Lỗ hổng thứ hai cho phép kẻ tấn công tải xuống danh sách người đăng ký và có quyền truy cập vào nhiều chức năng plugin.
Lỗ hổng này ảnh hưởng đến hơn 100.000 người dùng plugin. Điều quan trọng là các nhà xuất bản tải xuống và cập nhật plugin của họ.
Theo nhà sản xuất plugin bảo mật Wordfence:
"Những kẻ tấn công thường sử dụng một lỗ hổng như thế này để chuyển hướng khách truy cập trang web đến các trang web quảng cáo độc hại hoặc đánh cắp thông tin bí mật từ trình duyệt của họ, mặc dù nó cũng có thể được sử dụng để chiếm lấy trang web nếu quản trị viên truy cập hoặc xem trước trang chứa cửa sổ bật lên bị nhiễm khi kết nối. "
Nó là rất quan trọng để cập nhật plugin này. Nếu không, bạn có thể mời tin tặc chiếm lấy một trang web.
Đọc thông báo WordFence:
Các lỗ hổng được vá trong plugin Popup Builder ảnh hưởng đến hơn 100.000 trang web
