Исследователи WebARX предупреждают, что популярный плагин для WordPress Popup Builder (полное название: Popup Builder – Responsive WordPress Pop up – Subscription & Newsletter), установленный более чем на 200 000 сайтов, мог использоваться для выполнения различных вредоносных действий, включая рассылку спама.

Проблемы были обнаружены во всех версиях плагина вплоть до Popup Builder 3.71, и в настоящее время уже устранены разработчиками.

Эксперты пишут, что корень всех бед крылся в отсутствии авторизации для большинства методов AJAX. В итоге эти недочеты можно было использовать для рассылки информационных бюллетеней с произвольным содержанием, атак типа local file inclusion, для импорта или удаления подписчиков, а также для выполнения других вредоносных действий.

Исследователи призывают всех обновить Popup Builder как можно скорее.

Источник: xaker.ru