Уязвимости в плагине WordPress для Popup Builder могут позволить злоумышленникам, не прошедшим проверку подлинности, внедрить вредоносный код JavaScript в всплывающие окна, отображаемые на десятках тысяч веб-сайтов, украсть информацию и потенциально полностью захватить целевые сайты.
Popup Builder позволяет владельцам сайтов создавать, развертывать и управлять настраиваемыми всплывающими окнами, содержащими широкий спектр контента от кода HTML и JavaScript до изображений и видео.
Sygnoos, разработчик плагина, позиционирует его как инструмент, который может помочь увеличить продажи и доходы с помощью умных всплывающих окон, используемых для отображения рекламы, запросов на подписку, скидок и различных других видов рекламного контента.
Несанкционированные ошибки XSS и раскрытия информации
Ошибки безопасности, обнаруженные инженером Defiant QA Рамом Галлом, затрагивают все версии вплоть до Popup Builder 3.63.
«Одна уязвимость позволила злоумышленнику, не прошедшему проверку подлинности, внедрить вредоносный JavaScript в любое опубликованное всплывающее окно, которое затем выполнялось при загрузке всплывающего окна», — сказал Галл.
«Как правило, злоумышленники используют подобную уязвимость, чтобы перенаправить посетителей сайта на сайты с вредоносной рекламой или украсть конфиденциальную информацию из своих браузеров, хотя ее также можно использовать для захвата сайта, если администратор посетил или просмотрел страницу, содержащую зараженное всплывающее окно, во время входа в систему».
Другая ошибка позволяет любому вошедшему в систему пользователю (с такими же низкими разрешениями, как у подписчика) получить доступ к функциям плагина, экспортировать списки подписчиков на рассылку, а также экспортировать информацию о конфигурации системы с помощью простого запроса POST к администратору. post.php.
Уязвимости исправлены, десятки тысяч все еще уязвимы
Недостатки, отслеживаемые как CVE-2020-10196 и CVE-2020-10195, позволяют хранить XSS без проверки подлинности, раскрывать конфигурацию, экспортировать данные пользователя и изменять настройки веб-сайта.
Sygnoos исправил проблемы безопасности с выпуском Popup Builder версии 3.64.1, через неделю после того, как Defiant сообщил об ошибках.
С момента публикации исправленной версии Popup Builder плагин обновил чуть более 33 000 пользователей, что по-прежнему оставляет более 66 000 сайтов с активной установкой уязвимыми для атак.
«Хотя мы не обнаружили какой-либо вредоносной активности, нацеленной на Popup Builder, хранимая уязвимость XSS может оказать серьезное влияние на посетителей сайта и потенциально даже разрешить захват сайта», — добавил Галл.
С конца февраля хакеры активно пытаются завладеть сайтами WordPress, используя уязвимости плагинов, позволяющие им создавать бэкдоры и создавать мошеннические учетные записи администраторов, при этом сотни тысяч сайтов сайтов подверглись атакам.
Источник: