Er is een kwetsbaarheid ontdekt in de WordPress Popup Builder plugin. Deze kwetsbaarheid stelde aanvallers in staat om malafide JavaScript code in een popup te injecteren. Inmiddels heeft de plugin ontwikkelaar een update uitgerold.
Over de Popup Builder plugin
Popup Builder is een populaire WordPress plugin die bedoeld is voor het bouwen en beheren van allerlei soorten popups voor je WordPress website. Je hebt volledige controle over de look en feel van je popups, en kunt gemakkelijk instellen wat de popup triggers zijn en waar de popups moeten worden weergegeven. De plugin heeft meer dan 100.000 actieve installaties.
Kwetsbaarheid
De kwetsbaarheid werd op 4 maart ontdekt door WordFence, waarna de plugin ontwikkelaar meteen op de hoogte werd gebracht. Een week later, op 11 maart, werd door de plugin ontwikkelaar een update met patch uitgerold. Volgens WordFence maken aanvallers misbruik van dit soort kwetsbaarheden door website bezoekers door te verwijzen naar malvertising sites of gevoelige informatie uit hun browsers te plukken. “Maar het kan ook gebruikt worden voor website overname als een admin, terwijl hij is ingelogd, een pagina met de geïnfecteerde popup heeft bezocht.”
Gebruikers worden geadviseerd zo spoedig mogelijk te updaten naar Popup Builder versie 3.64.1. Websites die van oudere versies gebruik maken, lopen namelijk nog steeds risico. Voor meer informatie kun je de aankondiging van WordFence lezen.
Veel kwetsbaarheden
Popup Builder is niet de enige plugin deze periode die een kwetsbaarheid bleek te bevatten. Op 29 februari bleek al dat 4 WordPress plugins waren getroffen door zeroday kwetsbaarheden. Een paar dagen later bleek dat er nog 3 WordPress plugins misbruiktwerden via soortgelijke kwetsbaarheden. Om je WordPress website en je bezoekers te beschermen is het raadzaam om zowel de WordPress core als je thema’s en plugins altijd up-to-date te houden en gebruik te maken van een van de beste security plugins voor WordPress in 2020.