WordPress外掛Popup Builder含有可被接管的安全漏洞，影響逾10萬網站

WordPress的安全外掛程式開發團隊Wordfence在本周指出，熱門的WordPress外掛程式Popup Builder含有一個安全漏洞，將允許駭客接管WordPress網站，且波及超過10萬個網站，Wordfence呼籲Popup Builder用戶，應儘速更新到已修補的版本。

Popup Builder允許用戶透過拖曳來建立跳出視窗，以吸引造訪者的目光，內容可能是新產品、優惠方案或訂閱服務，有超過10萬個WordPress網站安裝這個外掛程式。

不過，Wordfence的威脅情報團隊在3月初發現，該外掛程式含有許多漏洞，其中一個漏洞，允許駭客在Popup Builder所發表的任何視窗，注入惡意的JavaScript，以在載入的時候執行。另一個漏洞則允許任何登入的使用者，就算是擁有最小權限的訂閱用戶，都能匯出訂閱者名單、系統配置資訊，或是允許他們存取該外掛程式的各種功能。

研究人員說明，在第一個允許駭客注入惡意JavaScript的漏洞中，通常是用來將使用者導至其它的惡意網站，或者是竊取使用者瀏覽器中的機密資訊，但假設是一個網站管理員在登入時，造訪或預覽了含有該惡意視窗的頁面，駭客便有可能接管他的網站。

Wordfence在今年3月4日提報了相關漏洞之後，Popup Builder已於3月11日釋出了修補所有漏洞的 3.64.1版。