وصله امنیتی افزونه ای که 100000 سایت را آلوده کرد

افزونه: Popup Builder

نوع آسیب پذیری: XSS

نسخه: 3.63 و قبل از آن

ID CVE (شناسه)  : CVE-2020-10196

امتیاز CVSS: بالا (8.3)

CVSS بردار : CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

در تاریخ 4 مارس 2020 ، بخش Threat Intelligence تیم وردفنس، چندین آسیب پذیری را در افزونه Popup Builder کشف کردند ، افزونه ای که در بیش از 100000 سایت نصب شده است.  آسیب پذیری به مهاجم غیرمجاز اجازه می دهد تا JavaScript مخرب را به هر پاپ اپ تزریق کند ، که در صورت لود شدن ، هر بار اجرا می شود.

آسیب پذیری دیگر این افزونه به هر کاربر عضو حتی افرادی که دارای حداقل مجوز هستند(مشترک) ، اجازه صادر کردن لیستی از کلیه مشترکین خبرنامه ، اطلاعات پیکربندی سیستم و دسترسی به ویژگی های مختلف افزونه را می دهد.

اکیداً توصیه می شود که افزونه popup builder را به نسخه جدید 3.64.1 به روز رسانی کنید. افرادی که از وردفنس پرمیوم استفاده می کنند در 5 مارس 2020 برای محافظت در برابر سوء استفاده از این آسیب پذیری ها ، قانون فایروال جدید را دریافت کردند. کاربران رایگان Wordfence این قانون را بعد از سی روز ، در تاریخ 4 آوریل 2020 دریافت می کنند.