Um bug no plug-in do Popup Builder WordPress pode permitir que invasores não autenticados injetem código JavaScript malicioso em pop-ups exibidos em dezenas de milhares de sites, roubem informações e potencialmente dominem estes sites.
Bug em plug-in do WordPress
O Popup Builder permite que os proprietários do site criem, implantem e gerenciem pop-ups personalizáveis que contêm uma ampla variedade de conteúdo, desde códigos HTML e JavaScript até imagens e vídeos.
A Sygnoos, desenvolvedora do plugin, o comercializa como uma ferramenta que pode ajudar a aumentar as vendas e a receita por meio de pop-ups inteligentes usados para exibir anúncios, solicitações de assinatura, descontos e vários outros tipos de conteúdo promocional.
XSS não autenticado e falhas de divulgação de informações
As falhas de segurança descobertas por Ram Gall, engenheiro de controle de qualidade da Defiant, afetam todas as versões até o Popup Builder 3.63.
Uma vulnerabilidade permitia um invasor não autenticado injetar JavaScript malicioso em qualquer pop-up publicado, que seria executado sempre que o pop-up fosse carregado.
Geralmente, os invasores usam uma vulnerabilidade como essa para redirecionar os visitantes do site para sites maliciosos ou roubar informações confidenciais de seus navegadores. Além disso, ela pode ser usada para aquisição do site se um administrador visitar ou visualizar uma página que contém o pop-up infectado enquanto estiver conectado.
O outro bug tornou possível para qualquer usuário logado (com permissões tão baixas quanto um assinante) obter acesso aos recursos do plug-in, exportar listas de assinantes de boletins informativos e exportar informações de configuração do sistema com uma simples solicitação POST para o admin-post.php.
Vulnerabilidades corrigidas, dezenas de milhares ainda expostas
As falhas rastreadas como CVE-2020-10196 e CVE-2020-10195 permitem divulgação de configuração, exportação de dados do usuário e modificação de configurações do site.
A Sygnoos corrigiu os problemas de segurança com o lançamento do Popup Builder versão 3.64.1, uma semana após a Defiant reportar os bugs.
Desde que a versão fixa do Popup Builder foi publicada, pouco mais de 33.000 usuários atualizaram o plug-in. Portanto, 66.000 sites com a instalação ativa ainda estão expostos a ataques.
Por fim, Gall acrescentou:
Embora não tenhamos detectado nenhuma atividade maliciosa direcionada ao Popup Builder, a vulnerabilidade pode ter um sério impacto nos visitantes do site e potencialmente permitir a aquisição do site.
Desde o final de fevereiro, os hackers estão tentando invadir sites WordPress explorando vulnerabilidades de plug-ins. Essas vulnerabilidades permitem que eles plantem backdoors e criem contas de administrador não autorizadas.
Fonte: Bleeping Computer