Die zweite Schwachstelle trägt die CVE-Kennung CVE-2020-10195 und besitzt die Risikoeinstufung "Medium". Um sie auszunutzen, müsste der Angreifer am CMS angemeldet sein; allerdings genügen bereits Zugriffsrechte als Abonnent.
Mit solchen Rechten könnte er laut Wordfence-Team allen anderen Nutzern mit Subscriber-Rechten diverse Rechte in Verbindung mit der Funktionalität des Plugins einräumen. So etwa die Möglichkeit, Kategorien und Newsletter anzulegen und zu verwalten.
Abgesicherte Version veröffentlicht
Betroffen von beiden Schwachstellen sind alle Plugin-Versionen bis einschließlich 3.63. Die Entwickler von Popup Builder haben die vollständig abgesicherte Version 3.64.1 veröffentlicht. Sie steht auf der Download-Site von Popup Builder bereit.