มีการค้นพบช่องโหว่ในปลั๊กอิน WordPress ยอดนิยมที่เรียกว่า Popup Builder ซึ่งอาจทำให้ผู้โจมตีที่ไม่ผ่านการรับรองความถูกต้องสามารถแทรกรหัส JavaScript ที่เป็นอันตรายลงในหน้าต่างป๊อปอัปเพื่อขโมยข้อมูลและอาจควบคุมไซต์เป้าหมายได้อย่างสมบูรณ์ ปลั๊กอินช่วยให้เจ้าของไซต์สามารถสร้าง ปรับใช้ และจัดการป๊อปอัปที่ปรับแต่งได้โดยใช้เนื้อหาต่างๆ ที่หลากหลาย ตั้งแต่ HTML และ JavaScript ไปจนถึงรูปภาพและวิดีโอ Sygnoos ผู้พัฒนา Popup Builder กล่าวว่าธุรกิจสามารถใช้เพื่อเพิ่มยอดขายและรายได้ผ่านป๊อปอัปอัจฉริยะที่สามารถใช้เพื่อแสดงโฆษณา คำขอสมัครสมาชิก ส่วนลด และเนื้อหาส่งเสริมการขายเพิ่มเติม ส่วนเสริม ซึ่งมีผลกับ Popup Builder ทุกรุ่นจนถึง เวอร์ชัน 3.63 ถูกค้นพบครั้งแรกโดย Ram Gall ซึ่งทำงานเป็นวิศวกรควบคุมคุณภาพที่ Defiant Gall ให้รายละเอียดเพิ่มเติมเกี่ยวกับวิธีที่ผู้โจมตีใช้ช่องโหว่ที่พบในปลั๊กอินในบล็อกโพสต์ โดยกล่าวว่า "โดยทั่วไป ผู้โจมตีใช้ช่องโหว่เช่นนี้เพื่อเปลี่ยนเส้นทางผู้เยี่ยมชมไซต์ไปยังไซต์ที่เป็นอันตรายหรือขโมยข้อมูลที่ละเอียดอ่อนจากเบราว์เซอร์ของคุณ แม้ว่าจะสามารถใช้เพื่อครอบครองไซต์ได้หากผู้ดูแลระบบเข้าชมหรือดูตัวอย่างหน้าที่มีป๊อปอัปที่ติดไวรัสเมื่อเข้าสู่ระบบ" หนึ่งในช่องโหว่ที่ Gall ค้นพบในปลั๊กอิน Popup Builder ช่วยให้ผู้โจมตีที่ไม่ผ่านการรับรองความถูกต้องสามารถแทรกโค้ด JavaScript ที่เป็นอันตรายลงในหน้าต่างป๊อปอัปที่เผยแพร่ และโค้ดจะถูกดำเนินการทุกครั้งที่มีการโหลด ช่องโหว่อื่นๆ อนุญาตให้ผู้ใช้ที่เข้าสู่ระบบ (โดยมีสิทธิ์ต่ำเท่ากับสมาชิก) เข้าถึงฟังก์ชันของปลั๊กอินเพื่อส่งออกรายชื่อสมาชิกและข้อมูลการกำหนดค่าระบบโดยใช้คำขอ POST แบบง่ายไปยัง admin-post.php Sygnoos แก้ไขช่องโหว่ด้านความปลอดภัย โดยติดตามเป็น CVE-2020-10196 และ CVE-2020-10195 ด้วยการเปิดตัว Popup Builder เวอร์ชัน 3.65.1 หลังจาก Gall เปิดเผยข้อบกพร่องกับบริษัท อย่างไรก็ตาม มีผู้ใช้เพียง 33,000 รายจากผู้ใช้ปลั๊กอินกว่า 100,000 รายเท่านั้นที่อัปเดตเป็นเวอร์ชันล่าสุด ซึ่งหมายความว่าไซต์มากกว่า 66,000 แห่งที่มี Popup Builder เวอร์ชันเก่ายังคงมีความเสี่ยงและอาจถูกโจมตีโดยแฮ็กเกอร์ ผ่าน Bleeping Computer