PopUp Builder Plugin bis 4.2.2 auf Aktualität prüfen – Sicherheitsschwachstelle ist ab Version 4.2.3 behoben

Wordfence hat in einem Blogbeitrag über eine unauthentifizierte Stored Cross-Site Scripting-Schwachstelle im Popup Builder Plugin bis Version 4.2.2 berichtet.

Am 11. Dezember 2023 hat Wordfence eine unauthentifizierte gespeicherte XSS-Schwachstelle im Popup Builder WordPress-Plugin in die Wordfence Intelligence-Schwachstellendatenbank aufgenommen. Diese Schwachstelle, die ursprünglich von WPScan gemeldet wurde, ermöglicht es einem nicht authentifizierten Angreifer, beliebiges JavaScript einzuschleusen, das ausgeführt wird, sobald ein Benutzer auf eine eingeschleuste Seite zugreift.

Später, am 10. Januar 2024, erhielt Wordfence eine interessante Malware-Meldung, die zeigt, wie eine Cross-Site Scripting (XSS)-Schwachstelle in einem einzelnen Plugin einem nicht authentifizierten Angreifer die Einschleusung eines beliebigen administrativen Kontos ermöglicht, das zur Übernahme einer Website verwendet werden kann. Dies ist einer der wenigen Fälle, die Wordfence eindeutig dieser Technik zuordnen konnte.

Nutzer von Wordfence Premium, Wordfence Care und Wordfence Response sowie von Wordfence CLI Paid erhalten eine Malware-Signatur, die diese bösartige Datei ab dem 11. Januar 2024 erkennt. Nutzer von Wordfence Free erhalten diese Signatur nach 30 Tagen am 11. Februar 2024.

Die Sicherheitslücke wurde laut Wordfence in der Version 4.2.3 des Plugins behoben. Achten Sie also bitte darauf, dass das Plugin einer entsprechend neueren Version, aktuell 4.2.6 (18.01.2024) bei Ihnen installiert / aktualisiert ist.

Den ausführlichen Beitrag von Wordfence finden Sie hier: Website Takeover Campaign Takes Advantage of Unauthenticated Stored Cross-Site Scripting Vulnerability in Popup Builder Plugin