Business Security, Schutzprogramme, Sicher & Anonym

Update für WordPress-Plugin

Cyberkriminelle hätten über verwundbare Popup-Builder-Versionen unter anderem schädlichen JavaScript-Code ausführen können.

Derzeit kommt das Plugin "Popup Builder" in mehr als 100.000 Installationen des Content Management Systems WordPress zum Einsatz. Über eine kürzlich entdeckte Schwachstelle mit "High"-Einstufung in Popup Builder (CVE-2020-10196, CVSS-v3-Score 8.3) hätten entfernte, unauthentifizierte Angreifer schädlichen JavaScript-Code in Popups injizieren können, der bei jeder Anzeige eines solchen zur Ausführung gekommen wäre.

Die zweite Schwachstelle trägt die CVE-Kennung CVE-2020-10195 und besitzt die Risikoeinstufung "Medium". Um sie auszunutzen, müsste der Angreifer am CMS angemeldet sein; allerdings genügen bereits Zugriffsrechte als Abonnent.

Mit solchen Rechten könnte er laut Wordfence-Team allen anderen Nutzern mit Subscriber-Rechten diverse Rechte in Verbindung mit der Funktionalität des Plugins einräumen. So etwa die Möglichkeit, Kategorien und Newsletter anzulegen und zu verwalten.

Abgesicherte Version veröffentlicht

Betroffen von beiden Schwachstellen sind alle Plugin-Versionen bis einschließlich 3.63. Die Entwickler von Popup Builder haben die vollständig abgesicherte Version 3.64.1 veröffentlicht. Sie steht auf der Download-Site von Popup Builder bereit. 

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben