Эксперт SolidSoft Алексей Смирнов нашел уязвимость в плагине для WordPress

Эксперт SolidSoft Алексей Смирнов нашел уязвимость в плагине Supsystic Popup для Wordpress. Плагин позволяет разработчикам создавать всплывающие окна для веб‑сайтов, которые продвигают новые продукты, рекламные акции и привлекают подписчиков для новостных рассылок.

Обнаруженная уязвимость относится к классу Prototype Pollution и может приводить к проблемам безопасности различных уровней критичности в зависимости от гаджетов, доступных в коде атакуемой программы. При наличии гаджетов в коде клиентской стороны веб‑приложения недостаток класса Prototype Pollution может приводить к появлению уязвимости XSS.

Разработчикам рекомендуется использовать новую версию 1.10.19. Обновления выложены на сайте Wordpress. Недостатку присвоен идентификатор CVE‑2023‑3186.

Уязвимость была обнаружена с использованием сканера защищенности приложений SolidPoint DAST.