چرا باید افزونه Popup Builder وردپرس را همین الان به‌روزرسانی کنید؟

در افزونه Popup Builder وردپرس آسیب‌پذیری‌هایی پیدا شده است که به هکرها اجازه می‌دهد کد مخرب جاوا اسکریپت را داخل پاپ‌آپ‌ها تزریق کنند تا به کمک آن بتوانند اطلاعات را بدزدند و به صورت بالقوه کنترل کامل سایت‌های هدف را به دست آورند.

پلاگین مورد نظر این توانایی را به مالکان سایت‌ها می‌دهد که با استفاده از محتواهای مختلف از کد جاوا اسکریپت و HTML گرفته تا تصاویر و ویدئوها پاپ‌آپ‌های سفارشی بسازند، اجرا و مدیریت کنند.

شرکت «Sygoos» توسعه‌دهنده پلاگین Popup Builder می‌گوید کسب و کارها به کمک این افزونه و پاپ‌آپ‌های هوشمندی که می‌توانند برای نمایش تبلیغات، درخواست‌های عضویت در خبرنامه، تخفیف‌ها و سایر محتوای تبلیغاتی استفاده کنند، فروش و درآمد خود را بالا ببرند.

نقص‌های امنیتی در این افزونه که روی تمام نسخه‌های آن تا نسخه 6.3 تاثیر می‌گذارد ابتدا توسط فردی به اسم «Ram Gall» کشف شد که مهندس اطمینان کیفی شرکت Defiant است. او در مورد این که چطور یک هکر می‌تواند از آسیب‌پذیری‌های داخل این پلاگین استفاده کند جزئیات بیشتر را توضیح داده است:

«معمولا، هکرها از چنین آسیب‌پذیری‌هایی برای ری‌دایرکت کردن بازدیدکنندگان سایت به سایت‌های بدافزار تبلیغاتی یا دزدیدن اطلاعات حساس از مرورگر آن‌ها استفاده می‌کنند، گرچه از آن می‌توان برای به دست گرفتن کنترل سایت نیز استفاده کرد اگر یک ادمین یک صفحه حاوی پاپ‌آپ آلوده را در حین لاگین بازدید کرده باشد یا پیش نمایش آن را دیده باشد.»

آسیب‌پذیری‌های افزونه Popup Builder

یکی از آسیب‌پذیری‌هایی که Gall در پلاگین Popup Builder شناسایی کرد به یک هکر اجازه می‌دهد کد مخرب جاوا اسکریپت را داخل هر گونه پاپ‌آپ منتشر شده تزریق کند و این کد سپس هر زمانی که لود شد، اجرا می‌شود.

آسیب‌پذیری دیگر این امکان را برای هر کاربری که لاگین کرده باشد (با کمترین سطح مجوز) فراهم می‌کند تا به قابلیت‌های افزونه برای استخراج فهرست اعضای خبرنامه و پیکربندی سیستم با استفاده از یک درخواست POST ساده به فایل admin-post.php دسترسی داشته باشد.

این دو نقص امنیتی به شماره‌های CVE-2020-10196 و CVE-2020-10195 با انتشار نسخه 3.65.1 افزونه Popup Builder توسط توسعه‌دهنده آن رفع شده‌اند.

گرچه، تنها 33 هزار از بیش از 100 هزار کاربر این افزونه جدیدترین نسخه آن را به‌روزرسانی کردند تا به این معنا باشد بیش از 6 هزار سایت از نسخه قبلی Popup Builder استفاده می‌کنند و هنوز آسیب‌پذیر هستند و در معرض هدف هکرها قرار دارند.

منبع: techradar.com