Le plug-in WordPress Popup Builder présente des bogues affectant plus de 200 000 sites

0

[ad_1]

Un plugin WordPress assez populaire nommé Popup Builder avait un bogue dans ses anciennes versions affectant des centaines de milliers de sites Web. Il a été signalé avoir plusieurs vulnérabilités par Team WebARX, et a maintenant reçu une mise à jour des fabricants les rectifiant. Il est donc conseillé aux administrateurs de sites WordPress de mettre à jour leur plug-in pour rester en sécurité.

Vulnérabilité du plug-in WordPress Pop-up Builder

 Le plug-in WordPress Popup Builder présente des bogues affectant plus de 200 000 sites "width =" 700 "height =" 368 "data-lazy-srcset =" https://techdator.net/wp-content/uploads/2021/ 02 / Popup-Builder-WordPress-Plugin-Vulnerabilities.png 700w, https://techdator.net/wp-content/uploads/2021/02/Popup-Builder-WordPress-Plugin-Vulnerabilities-300x158.png 300w "data- lazy-tailles = "(largeur maximale: 700px) 100vw, 700px" data-lazy-src = "https://techdator.net/wp-content/uploads/2021/02/Popup-Builder-WordPress-Plugin-Vulnerabilities .png "/> </p>
<p> <noscript> <img class=

Un tel plug-in avec plusieurs vulnérabilités découvertes est le Pop-up Builder qui est téléchargé plus de 200 000 fois par plusieurs sites WordPress. L'équipe de sécurité de WebARX a découvert plusieurs vulnérabilités dans le plugin, la principale étant avec l'autorisation des méthodes AJAX.

Les chercheurs ont déclaré que « Un jeton nonce en revanche est vérifié, mais comme ce jeton nonce est envoyé à tous les utilisateurs quelles que soient leurs capacités, n'importe quel utilisateur peut exécuter les méthodes AJAX vulnérables tant qu'il transmet le jeton nonce . »

Ainsi, un utilisateur connecté peut avoir des privilèges extrêmes sur le site s'il parvient à obtenir le jeton nonce. Cela lui permet d’effectuer des activités qui peuvent perturber la popularité du site et même avoir une valeur négative. Les chercheurs ont déclaré que les attaquants peuvent effectuer des activités telles que l'envoi de faux bulletins, l'ajout et la suppression d'abonnés, et même l'inclusion d'un fichier local.

Les chercheurs ont informé ces vulnérabilités des fabricants de plug-ins, qui ont repéré les bogues existant dans la version 3.71 et les versions antérieures. Finalement, les fabricants ont publié une version mise à jour 3.72, et assez tôt, ils ont publié la version 3.73 corrigeant plus de bogues liés à AJAX.

Ainsi, tous les administrateurs de sites WordPress sont invités à mettre à jour ce plugin comme meilleure pratique pour éviter les cyberattaques contre leurs sites et voir leur bonne volonté endommagée.

[ad_2]

Leave A Reply

Your email address will not be published.