Pembuat Popup WordPress Berisi Kerentanan Kritis

1 1 minute read

Generator Popup Plugin Popup yang populer ternyata memiliki banyak kerentanan. Kerentanan ini dapat memungkinkan penyerang untuk menyuntikkan JavaScript berbahaya ke dalam pop-up.

Kerentanan terdeteksi di Plugin Pembuat Popup

Kerentanan ditemukan oleh WordFence pada 4 Maret 2020 dan kemudian menghubungi pengembang. Kerentanan plugin WordPress memengaruhi versi Pembuat Popup yang lebih rendah dari versi 3.64.1.

Pengembang plugin mengunggah file tambalan seminggu kemudian, pada 11 Maret, ketika plugin yang diperbarui tersedia untuk diunduh.

Ubah log

Changelog adalah penjelasan tentang apa itu pembaruan. Penting bahwa log perubahan bersifat deskriptif sehingga pengguna plugin dapat mengetahui bahwa ada sesuatu yang mendesak.

Sayangnya, beberapa pengembang plugin WordPress tidak menyebutkan keamanan atau menjelaskannya dengan istilah yang tidak jelas dan umum.

Log perubahan untuk add-in Pembuat Popup menunjukkan bahwa ada pembaruan keamanan, tetapi tidak menyebutkan tingkat keparahan atau pentingnya pembaruan. Tidak jelas, tetapi setidaknya mereka mengungkapkan bahwa pembaruan tersebut membahas masalah keamanan.

Pembaruan dijelaskan sebagai “Perbaikan Keamanan,” yang secara teknis melaporkan bahwa masalah keamanan telah diselesaikan, tetapi tidak memberikan rasa urgensi yang diperlukan untuk kerentanan kritis ini.

Berikut adalah screenshot dari perubahan Popup Builder:

Apa saja kerentanannya?

Ada dua lubang. Kerentanan pertama memungkinkan seseorang untuk memasukkan JavaScript berbahaya ke dalam pop-up.

Kerentanan kedua memungkinkan penyerang mengunduh daftar pelanggan dan mendapatkan akses ke banyak fungsi plugin.

Kerentanan ini mempengaruhi lebih dari 100.000 pengguna plugin. Penting bagi penerbit untuk mengunduh dan memperbarui plugin mereka.

Menurut pembuat plugin keamanan Wordfence:

“Penyerang sering menggunakan kerentanan seperti ini untuk mengarahkan pengunjung situs web ke situs iklan berbahaya atau mencuri informasi rahasia dari browser mereka, meskipun itu juga dapat digunakan untuk mengambil alih situs jika admin mengunjungi atau melihat pratinjau halaman pop-up yang terinfeksi saat terhubung. “

Sangat penting untuk memperbarui plugin ini. Jika tidak, Anda dapat mengundang peretas untuk mengambil alih sebuah situs web.

Baca pemberitahuan WordFence:

Kerentanan yang ditambal di plugin Pembuat Popup memengaruhi lebih dari 100.000 situs web

Tags
1 1 minute read

Pos terkait

Penyimpanan iPhone XS sangat menguntungkan untuk Apple dengan Minimal…

Leak

(Panduan) Pelajari kartu grafis terbaik 2019

Poll: Apakah Anda menderita sakit kronis dari menggunakan telepon Anda?

Standard Brawliseum adalah Hearthstone Tavern Brawl minggu ini – Aplikasi Gratis

© Copyright 2022, All Rights Reserved  |  Tin tức và Phân tích Của tất cả các Thiết bị di động
Back to top button