Lỗ hổng trong plugin của WordPress đã khiến cho gần 100.000 trang web trở thành mục tiêu của hacker

Buzz

Ngày cập nhật gần nhất: 15/4/2026

Đọc tóm tắt

- Các lỗ hổng trong plugin Popup Builder của Wordpress có thể cho phép hacker tiêm mã JavaScript vào cửa sổ pop-up trên hàng chục nghìn trang web.
- Popup Builder giúp tạo, triển khai và quản lý cửa sổ pop-up tùy chỉnh chứa nhiều loại nội dung.
- Lỗ hổng bảo mật trong WordPress đã tạo điều kiện cho hacker tấn công vào 100.000 trang web Sygnoos.
- Lỗ hổng tiết lộ thông tin và tấn công XSS, được phát hiện bởi Kỹ sư kiểm thử chất lượng Ram Gall của Defiant.
- Sygnoos đã phát hành Popup Builder 3.64.1 để khắc phục vấn đề bảo mật, nhưng vẫn còn hàng nghìn trang web bị tấn công.

Các lỗ hổng trong plugin Popup Builder của Wordpress có thể cho phép hacker tiêm mã JavaScript vào cửa sổ pop-up xuất hiện trên hàng chục nghìn trang web, nhằm mục đích đánh cắp thông tin và chiếm lĩnh hoàn toàn các trang web đó.

Với Popup Builder, các quản trị trang web có thể tạo, triển khai và quản lý các cửa sổ pop-up có thể tùy chỉnh. Những cửa sổ pop-up này chứa nhiều loại nội dung, từ mã HTML và JavaScript đến hình ảnh và video.

Lỗ hổng bảo mật trong WordPress đã tạo điều kiện cho hacker tấn công vào 100.000 trang web

Sygnoos, người tạo ra plugin này đã quảng cáo rằng nó có thể giúp tăng doanh thu thông qua việc sử dụng cửa sổ pop-up để hiển thị quảng cáo, yêu cầu đăng ký, giảm giá và nhiều loại nội dung quảng cáo khác.

Lỗ hổng tiết lộ thông tin và tấn công XSS

Các lỗ hổng bảo mật được phát hiện bởi Kỹ sư kiểm thử chất lượng Ram Gall của Defiant gây ảnh hưởng đến tất cả các phiên bản, bao gồm cả Popup Builder 3.63.

Gall cho biết: 'Một lỗ hổng cho phép tin tặc tiêm mã JavaScript độc hại vào bất kỳ cửa sổ pop-up công khai nào. Mã độc sẽ thực thi khi cửa sổ pop-up được tải. Thông thường, tin tặc sử dụng lỗ hổng như vậy để chuyển hướng khách truy cập đến các trang web quảng cáo độc hại, hoặc đánh cắp thông tin nhạy cảm từ trình duyệt của họ. Ngoài ra, lỗ hổng cũng có thể được sử dụng để chiếm quyền kiểm soát trang web nếu quản trị viên truy cập hoặc xem trước trang chứa cửa sổ pop-up nhiễm mã khi đăng nhập.'

Một sự cố khác đã cho phép bất kỳ người dùng đã đăng nhập nào có quyền truy cập vào các tính năng của plugin, xuất danh sách người đăng ký bản tin điện tử cũng như thông tin cấu hình hệ thống với yêu cầu POST đơn giản cho admin-post.php.

Lỗ hổng đã được vá nhưng hàng nghìn người vẫn bị tấn công

Các lỗ hổng theo dõi là CVE-2020-10196 và CVE-2020-10195, cho phép tấn công Stored XSS, tiết lộ cấu hình, xuất dữ liệu người dùng và sửa đổi cài đặt trang web.

Sygnoos đã khắc phục vấn đề bảo mật bằng cách phát hành Popup Builder 3.64.1 chỉ sau một tuần kể từ khi Defiant thông báo về lỗi.

Kể từ khi bản phát hành Popup Builder cố định được phát hành, chỉ có hơn 33.000 người dùng đã cập nhật plugin, vẫn còn hơn 66.000 trang web đang hoạt động vẫn bị tấn công.

Gall cũng chia sẻ thêm: 'Mặc dù chúng tôi chưa phát hiện bất kỳ hành động nguy hiểm nào nhắm vào Popup Builder, nhưng lỗ hổng Stored XSS có thể gây hậu quả nghiêm trọng đối với người truy cập trang web và thậm chí có thể cho phép hacker chiếm quyền kiểm soát trang web'.

Để bảo vệ trang web của mình tốt hơn, hãy tham khảo một số biện pháp bảo mật đăng nhập WordPress tại đây

Các câu hỏi thường gặp

Làm thế nào để lỗ hổng trong plugin Popup Builder ảnh hưởng đến trang web của tôi?

Lỗ hổng trong plugin Popup Builder có thể cho phép hacker tiêm mã JavaScript độc hại vào cửa sổ pop-up, dẫn đến việc đánh cắp thông tin nhạy cảm và chiếm quyền kiểm soát trang web của bạn.

Popup Builder có thể giúp tôi tăng doanh thu từ quảng cáo như thế nào?

Popup Builder cho phép bạn tạo và quản lý cửa sổ pop-up để hiển thị quảng cáo, yêu cầu đăng ký và giảm giá, từ đó giúp tăng doanh thu cho trang web của bạn. Tuy nhiên, hãy đảm bảo bảo mật plugin trước khi sử dụng.

Có cách nào bảo vệ trang web khỏi lỗ hổng bảo mật của Popup Builder không?

Có, để bảo vệ trang web của bạn, hãy thường xuyên cập nhật plugin Popup Builder và thực hiện các biện pháp bảo mật cho đăng nhập WordPress, giúp ngăn chặn các cuộc tấn công từ hacker.

Làm sao để biết liệu trang web của tôi có bị ảnh hưởng bởi lỗ hổng bảo mật không?

Bạn có thể kiểm tra xem trang web của mình có cài đặt phiên bản cũ của Popup Builder hay không. Nếu chưa cập nhật lên phiên bản 3.64.1, có thể trang web của bạn vẫn đang tiềm ẩn rủi ro bị tấn công.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]