Derzeit kommt das Plugin "Popup Builder" in mehr als 100.000 Installationen des Content Management Systems WordPress zum Einsatz. Dass Popups Gefahren bergen können (und deshalb oftmals vom Browser blockiert werden), ist nichts Neues. Über eine kürzlich entdeckte Schwachstelle mit "High"-Einstufung in Popup Builder (CVE-2020-10196, CVSS-v3-Score 8.3) hätten entfernte, unauthentifizierte Angreifer schädlichen JavaScript-Code in Popups injizieren können, der bei jeder Anzeige eines solchen zur Ausführung gekommen wäre.
Weitere Details beschreibt das Entwickler-Team von WordFence, einem Sicherheits-Plugin für WordPress, in einem Blogeintrag zu CVE-2020-10196 und einer zweiten Schwachstelle. Letztere trägt die CVE-Kennung CVE-2020-10195 und besitzt die Risikoeinstufung "Medium" (6.3). Um sie auszunutzen, müsste der Angreifer am CMS angemeldet sein; allerdings genügen bereits (stark eingeschränkte) Zugriffsrechte als "Subscriber" (Abonnent).
Mit solchen Rechten könnte er laut Wordfence-Team allen anderen Nutzern mit Subscriber-Rechten diverse Rechte in Verbindung mit der Funktionalität des Plugins einräumen. So etwa die Möglichkeit, Kategorien und Newsletter anzulegen und zu verwalten.
Version 3.64.1 ist abgesichert
Betroffen von beiden Schwachstellen sind alle Plugin-Versionen bis einschließlich 3.63. Die Entwickler von Popup Builder haben die vollständig abgesicherte Version 3.64.1 veröffentlicht. Sie steht auf der Download-Site von Popup Builder bereit. WordPress-Admins sollten zeitnah umsteigen (bzw. einfach eine Aktualisierung aus der WP-Installation heraus vornehmen).
Quelle: WordPress-Plugin Popup Builder: Update schließt zwei Schwachstellen | heise online