Aktuell steckt das Plugin „Popup Builder“ in über 100.000 Installationen des Content Management Systems (CMS) WordPress. Bekannterweise bergen Popups Gefahren und werden deshalb häufig vom Browser blockiert.

Über eine erst vor kurzem entdeckte Schwachstelle mit der Einstufung „High“ in Popup Builder (CVE-2020-10196, CVSS-v3-Score 8.3) hätten entfernte, nicht authentifizierte Angreifer schädlichen JavaScript-Code in Popups injizieren können, der dann auch bei jeder Anzeige eines Popups ausgeführt worden wäre.

Weitere Details beschreibt das WordFence-Entwicklerteam, in einem Blogeintrag zu CVE-2020-10196 und einer weiteren Schwachstelle. Diese trägt die CVE-Kennung CVE-2020-10195 und besitzt die Risikoeinstufung „Medium“ (6.3). Um sie ausnutzen zu können, müsste der Angreifer am angegriffenen CMS angemeldet sein; allerdings reichen dafür schon die stark eingeschränkten Zugriffsrechte als „Subscriber“ (Abonnent).

Mit solchen Rechten angemeldet, könnte er dem Wordfence-Team nach allen anderen Nutzern mit Subscriber-Rechten verschiedene Rechte in Verbindung mit der Funktionalität des Plugins einräumen, beispielsweise die Möglichkeit, Kategorien und Newsletter anzulegen und zu verwalten.

Abgesicherte Version 3.64.1 ist verfügbar

Das Problem mit den beiden Schwachstellen steckt in allen Plugin-Versionen bis einschließlich 3.63. Popup Builder hat jetzt die vollständig abgesicherte Version 3.64.1 veröffentlicht, die auf der Download-Site von Popup Builder bereitsteht. WordPress-Admins sollten jetzt bald umsteigen oder einfach eine Aktualisierung aus der WP-Installation heraus durchführen.