Указанные уязвимости получили идентификаторы CVE-2020-10196 и CVE-2020-10195. Первая позволяет неаутентифицированному пользователю внедрять в любые всплывающие окна внедоносный код JavaScript, помогающий похищать информацию и, возможно, захватывать контроль над сайтами.
Вторая уязвимость позволяет любому вошедшему пользователю (пусть даже и с правами подписчика) получить доступ к функциям плагина, экспортировать списки подписчиков рассылки, а также экспортировать информацию о конфигурации системы при помощи обычного POST-запроса к admin-post.php.
Следует отметить, что Popup Builder установлен на более чем 100 000 сайтов. Скачать свежую версию плагина можно на странице по данной ссылке.
Установить Popup Builder 3.64.1 стоит незамедлительно.