今天小編分享的科技經驗:WordPress 熱門插件 Popup Builder 舊版存 XSS 漏洞,歡迎閲讀。
IT 之家 3 月 11 日消息,據安全平台 Security Affairs 報道,一款流行的 " 彈窗廣告營銷插件 "Popup Builder 4.2.3 及此前的舊版本中存在一項編号為 CVE-2023-6000 的 XSS 漏洞(CVSS 評分 8.8),雖然開發商已經在去年 11 月發布新版本修復漏洞,不過至今仍然有網站使用舊版本。
▲ 圖源 Security Affairs(下同)
據介紹,黑客利用相關 XSS 漏洞入侵網站,并将惡意代碼存儲在 wp_postmeta 數據表中,從而讓受害者在訪問相關網站時自動重定向到黑客搭建的惡意網站。
IT 之家查詢 publicwww 最終網站得知,黑客已經利用相關漏洞注入了超過 3900 個網站,而根據 WordPress 官方統計數據,安全平台據測至少還有 80000 個活躍站點正在使用 Popup Builder 4.1 及更早版本。
目前 Popup Builder 最新版本為 4.2.7 ,有在自家網站中運用相關插件的站長應訪問項目及時更新,并檢查網站數據是否已經被黑客趁虛而入。