WordPress 熱門插件 Popup Builder 舊版存 XSS 漏洞，超過 3900 個網(wǎng)站已被黑客趁虛而入

IT之家 3 月 11 日消息，據(jù)安全平臺 Security Affairs 報道，一款流行的“彈窗廣告營銷插件”Popup Builder 4.2.3 及此前的舊版本中存在一項編號為 CVE-2023-6000 的 XSS 漏洞（CVSS 評分 8.8），雖然開發(fā)商已經(jīng)在去年 11 月發(fā)布新版本修復(fù)漏洞，不過至今仍然有網(wǎng)站使用舊版本。

據(jù)介紹，黑客利用相關(guān) XSS 漏洞入侵網(wǎng)站，并將惡意代碼存儲在 wp_postmeta 數(shù)據(jù)表中，從而讓受害者在訪問相關(guān)網(wǎng)站時自動重定向到黑客搭建的惡意網(wǎng)站。

IT之家查詢 publicwww 最終網(wǎng)站得知，黑客已經(jīng)利用相關(guān)漏洞注入了超過 3900 個網(wǎng)站，而根據(jù) WordPress 官方統(tǒng)計數(shù)據(jù)，安全平臺據(jù)測至少還有 80000 個活躍站點(diǎn)正在使用 Popup Builder 4.1 及更早版本。

目前 Popup Builder 最新版本為 4.2.7 ，有在自家網(wǎng)站中運(yùn)用相關(guān)插件的站長應(yīng)訪問項目及時更新，并檢查網(wǎng)站數(shù)據(jù)是否已經(jīng)被黑客趁虛而入。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。