Ошибка в плагине WordPress позволяет внедрить вредоносный код на 100K-сайты

Ошибка в плагине WordPress позволяет внедрить вредоносный код на 100K-сайты

Уязвимости в плагине WordPress для Popup Builder могут позволить злоумышленникам, не прошедшим проверку подлинности, внедрить вредоносный код JavaScript в всплывающие окна, отображаемые на десятках тысяч веб-сайтов, украсть информацию и потенциально полностью захватить целевые сайты.

Popup Builder позволяет владельцам сайтов создавать, развертывать и управлять настраиваемыми всплывающими окнами, содержащими широкий спектр контента от кода HTML и JavaScript до изображений и видео.

Sygnoos, разработчик плагина, позиционирует его как инструмент, который может помочь увеличить продажи и доходы с помощью умных всплывающих окон, используемых для отображения рекламы, запросов на подписку, скидок и различных других видов рекламного контента.

Несанкционированные ошибки XSS и раскрытия информации

Ошибки безопасности, обнаруженные инженером Defiant QA Рамом Галлом, затрагивают все версии вплоть до Popup Builder 3.63.

«Одна уязвимость позволила злоумышленнику, не прошедшему проверку подлинности, внедрить вредоносный JavaScript в любое опубликованное всплывающее окно, которое затем выполнялось при загрузке всплывающего окна», — сказал Галл.

«Как правило, злоумышленники используют подобную уязвимость, чтобы перенаправить посетителей сайта на сайты с вредоносной рекламой или украсть конфиденциальную информацию из своих браузеров, хотя ее также можно использовать для захвата сайта, если администратор посетил или просмотрел страницу, содержащую зараженное всплывающее окно, во время входа в систему».

Другая ошибка позволяет любому вошедшему в систему пользователю (с такими же низкими разрешениями, как у подписчика) получить доступ к функциям плагина, экспортировать списки подписчиков на рассылку, а также экспортировать информацию о конфигурации системы с помощью простого запроса POST к администратору. post.php.

Уязвимости исправлены, десятки тысяч все еще уязвимы

Недостатки, отслеживаемые как CVE-2020-10196 и CVE-2020-10195, позволяют хранить XSS без проверки подлинности, раскрывать конфигурацию, экспортировать данные пользователя и изменять настройки веб-сайта.

Sygnoos исправил проблемы безопасности с выпуском Popup Builder версии 3.64.1, через неделю после того, как Defiant сообщил об ошибках.

С момента публикации исправленной версии Popup Builder плагин обновил чуть более 33 000 пользователей, что по-прежнему оставляет более 66 000 сайтов с активной установкой уязвимыми для атак.

«Хотя мы не обнаружили какой-либо вредоносной активности, нацеленной на Popup Builder, хранимая уязвимость XSS может оказать серьезное влияние на посетителей сайта и потенциально даже разрешить захват сайта», — добавил Галл.

С конца февраля хакеры активно пытаются завладеть сайтами WordPress, используя уязвимости плагинов, позволяющие им создавать бэкдоры и создавать мошеннические учетные записи администраторов, при этом сотни тысяч сайтов сайтов подверглись атакам.

Источник: www.bleepingcomputer.com