Эксперт SolidSoft Алексей Смирнов нашел уязвимость в плагине для WordPress

Эксперт SolidSoft Алексей Смирнов нашел уязвимость в плагине Supsystic Popup для Wordpress. Плагин позволяет разработчикам создавать всплывающие окна для веб-сайтов, которые продвигают новые продукты, рекламные акции и привлекают подписчиков для новостных рассылок.

Обнаруженная уязвимость относится к классу Prototype Pollution и может приводить к проблемам безопасности различных уровней критичности в зависимости от гаджетов, доступных в коде атакуемой программы. При наличии гаджетов в коде клиентской стороны веб-приложения недостаток класса Prototype Pollution может приводить к появлению уязвимости XSS.

Разработчикам рекомендуется использовать новую версию 1.10.19. Обновления выложены на сайте Wordpress. Недостатку присвоен идентификатор CVE-2023-3186.

Уязвимость была обнаружена с использованием сканера защищенности приложений SolidPoint DAST.