Плагин для WordPress под названием Popup Builder поставил под угрозу 100 000 сайтов — своих пользователей. Специалисты по безопасности обнаружили в нем несколько багов, которые дают злоумышленникам возможность перенаправлять посетителей сайтов на вредоносные ресурсы и даже красть конфиденциальную информацию из браузеров.

Один из багов позволял любому пользователю с правами подписчика получить полный список подписчиков рассылки и даже извлечь информацию о конфигурации системы.

Баги были во всех версиях плагина до 3.64.1, в которой разработчики избавились от них. 33 000 пользователей уже обновились до безопасной версии, но 66 000 сайтов еще находятся под угрозой.