Суббота, 6 июня, 21:22
дома безопасность Ошибка в плагине WordPress позволяет вставлять вредоносный код

Ошибка в плагине WordPress позволяет вставлять вредоносный код

WordPress

Плагин WordPress Builder Popup имеет один уязвимость который позволяет вставлять вредоносный код JavaScript, в всплывающих окнах, которые могут появляться в десятках тысяч сайты и украсть конфиденциальную информацию или даже получить полный контроль над сайтом.

Это Popup Builder позволяет владельцам сайтов создавать, развертывать и управлять пользовательскими всплывающими окнами с широким диапазоном содержимого HTML и JavaScript, вплоть до изображений и видео.

Создатель этого дополнения, Sygnoos, представляет его как один инструмент что может помочь увеличить продажи и доходы с помощью умных всплывающих окон для показа рекламы, запросов на подписку, скидок и различных других видов рекламного контента.

Обнаружены ошибки

Как обнаружил инженер Defiant QA, Рам Галл ошибки они влияют на все версии вплоть до Popup Builder 3.63.

«Обычно злоумышленники используют такую ​​уязвимость, чтобы перенаправлять посетителей сайта на сайты, рекламирующие вредоносные программы, или для кражи конфиденциальной информации из своих браузеров, хотя их также можно использовать для выкупа сайта в случае посещения веб-мастером или посетителем сайта. Предварительный просмотр страницы, содержащей зараженное всплывающее окно при входе. "

Другая обнаруженная ошибка позволяет любому зарегистрированному пользователю (с правами подписчика) получать доступ к функциям плагина, извлекать списки подписчиков и экспортировать информацию о конфигурации системы с помощью простого запроса POST к admin- post.php.

Ошибки обозначены CVE-2020-10196 и CVE-2020-10195 и позволяют хранить XSS без аутентификации, раскрытия конфигурации, извлечения пользовательских данных и изменения настроек сайта.

Sygnoos исправил проблемы безопасности в Popup Builder версии 3.64.1, через неделю после сообщения об ошибке Defiant.

На сегодняшний день 66.000 XNUMX сайтов по-прежнему подвержены нападки.

К концу февраля многие хакер пытаясь использовать уязвимости в надстройках WordPress для установки бэкдоров и создавать учетные записи, которые позволяют им подвергать тысячи учетных записей для атак.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Отсутствующая Миа
Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением

LIVE NEWS

Тексты от технологии искусственного интеллекта или от людей: вы можете отличить их?

В то время как большой процент людей может распознать, когда они разговаривают в чат-боте вместо оператора-человека, кажется, что это не так ...

Технологии и дети: когда они готовы к безопасному использованию?

Сегодняшние дети и подростки используют различные приложения для обмена сообщениями и социальные сети, чтобы ...

Call of Duty Black Ops Cold War: утечка первого видео

Первое видео из игрового процесса Call of Duty 2020, которое, по слухам, называется Black Ops Cold War, только что было опубликовано.

Элон Маск: «Пора расстаться с Амазонкой»

Элон Маск усиливает борьбу с Джеффом Безосом новым твитом: генеральный директор Tesla Inc., Элон Маск, сказал ...

Атака на американские 5G башни в субботу!

По сообщению NATE, в течение выходных запланированы акции протеста против подключения 5G. Согласно рекомендации, которая была определена ...

Обновления Windows 10: Вы можете заблокировать их с помощью Wu10Man!

Microsoft выпустила обновление для Windows 10 в мае 2020 года, поэтому оно скоро будет доступно на вашем компьютере ....

ECh0raix Ransomware: новая кампания, ориентированная на устройства QNAP NAS!

Вредоносные агенты eCh0raix Ransomware запустили новую кампанию, ориентированную на устройства QNAP NAS. Эхраикс наблюдался ...

Mac: Как изменить место хранения ваших скриншотов?

Когда вы делаете снимки экрана на вашем устройстве Mac с помощью ярлыка Shift-Command-3, чтобы сделать снимок экрана всего экрана компьютера или Shift-Command-4 ...

Malware USBCulprit: направляет устройства, которые не подключены к сети

Вы думали, что устройства без какого-либо подключения к локальной или другой сети (устройства с воздушным зазором) безопасны? Подумай еще раз! Вредоносная программа USBCulprit, которая ...

Бесплатные команды Microsoft: вы, наконец, можете создавать встречи!

Пользователи бесплатной версии Microsoft Teams теперь могут создавать видео встречи. Изменение, обозначенное ...