WordPress Popup Builder mengandung kerentanan serius

Plugin pop-up yang populer telah ditemukan memiliki beberapa kerentanan. Kerentanan ini dapat memungkinkan penyerang untuk memasukkan JavaScript berbahaya ke jendela sembulan.

Kerentanan ditemukan dalam plugin Popup Builder

Kerentanan itu diatasi 4, Ditemukan oleh WordFence pada Maret 2020 dan kemudian dihubungi oleh pengembang. Kerentanan plugin WordPress mempengaruhi versi Popup Builder lebih rendah dari versi 30.64.1.

Pengembang plugin seminggu setelah 11In Maret, file yang diperbarui diunggah ketika plugin yang diperbarui tersedia untuk diunduh.

Perubahan protokol

Log perubahan menjelaskan tentang apa pembaruan itu. Penting bahwa changelog bersifat deskriptif agar pengguna plugin mengetahui bahwa ada sesuatu yang mendesak.

Sayangnya, beberapa pengembang plugin WordPress tidak menyebutkan masalah keamanan dan tidak menjelaskannya secara kabur dan komprehensif.

Changelog untuk plugin Popup Builder menunjukkan bahwa pembaruan keamanan tersedia, tetapi tidak menyebutkan tingkat keparahan atau pentingnya pembaruan. Ini tidak jelas, tetapi setidaknya mereka menunjukkan bahwa pembaruan memecahkan masalah keamanan.

Pembaruan disebut "solusi keamanan." Secara teknis, masalah keamanan dilaporkan diselesaikan, tetapi tidak memberikan rasa urgensi yang diperlukan untuk masalah serius ini.

Berikut screenshot dari changelog Popup Builder:

Apa kelemahannya?

Ada dua kerentanan. Kerentanan pertama memungkinkan seseorang untuk menempatkan JavaScript berbahaya di jendela sembulan.

Kerentanan kedua memungkinkan penyerang mengunduh daftar pelanggan dan mengakses berbagai fungsi plugin.

Kerentanan ini memengaruhi lebih dari 100.000 pengguna plugin. Adalah penting bahwa penerbit mengunduh dan memperbarui plugin mereka.

Menurut produsen plugin keamanan Wordfence:

"Penyerang umumnya menggunakan kerentanan ini untuk mengarahkan pengunjung situs ke halaman iklan berbahaya atau untuk mencuri informasi rahasia dari browser mereka, tetapi mereka juga dapat digunakan untuk mengambil alih situs ketika administrator mengunjungi situs atau melihat pratinjau halaman popup yang terinfeksi saat Anda terhubung. "

Sangat penting untuk memperbarui plugin ini. Jika tidak, Anda dapat mengundang peretas untuk mengambil alih sebuah situs.

Baca pesan WordFence:

Kerentanan plugin Popup Builder mempengaruhi lebih dari 100.000 situs

Pos terkait

Back to top button