WordPress 熱門插件 Popup Builder 舊版存 XSS 漏洞

IT 之家 3 月 11 日消息，據安全平台   Security Affairs   報道，一款流行的 " 彈窗廣告營銷插件 "Popup Builder   4.2.3   及此前的舊版本中存在一項編号爲 CVE-2023-6000 的 XSS 漏洞（CVSS 評分 8.8），雖然開發商已經在去年   11   月發布新版本修複漏洞，不過至今仍然有網站使用舊版本。

▲ 圖源   Security Affairs（下同）

據介紹，黑客利用相關   XSS   漏洞入侵網站，并将惡意代碼存儲在   wp_postmeta   數據表中，從而讓受害者在訪問相關網站時自動重定向到黑客搭建的惡意網站。

IT 之家查詢 publicwww 最終網站得知，黑客已經利用相關漏洞注入了超過 3900 個網站，而根據   WordPress   官方統計數據，安全平台據測至少還有   80000   個活躍站點正在使用   Popup Builder 4.1   及更早版本。

目前 Popup Builder 最新版本爲   4.2.7  ，有在自家網站中運用相關插件的站長應訪問項目及時更新，并檢查網站數據是否已經被黑客趁虛而入。