WordPress-Plug-in Popup Builder: Angreifer könnten Newsletter verschicken
Es gibt ein wichtiges Sicherheitsupdate fĂĽr das WordPress-Plug-in Popup Builder.
(Bild: AFANASEV IVAN/Shutterstock.com)
Admins, die auf ihren WordPress-Websites das Plug-in Popup Builder einsetzen, sollten es zeitnah auf den aktuellen Stand bringen. Ansonsten könnten Angreifer Seiten attackieren und beispielsweise Newsletter mit Links zu Malware verschicken oder Seiten-Abonnenten löschen.
Mit dem Plug-in kann man Pop-up-Meldungen auf Websites managen. In einem Beitrag schreiben Sicherheitsforscher von WebARX, dass das Plug-in 200.000 aktive Installationen aufweist. Die Sicherheitsproblematik resultiert aus unzureichenden ĂśberprĂĽfungen von Nutzer-Eingaben in verschiedenen Ajax-Methoden.
Videos by heise
Mehrere Updates nötig
Die Entwickler geben an, die Schwachstellen in der aktuellen Popup-Builder-Version 3.73 geschlossen zu haben. Die Sicherheitsforscher erläutern, dass die Entwickler seit Dezember 2020 angefangen mit Ausgabe 3.71 mehrere Versionen nachschieben mussten, um das Sicherheitsproblem aus der Welt zu schaffen.
Offensichtlich wurde noch keine CVE-Nummer zur Katalogisierung der LĂĽcke vergeben. Auch eine Einstufung des Bedrohungsgrads steht noch aus.
(des)
