15 червня 2020 року команда Threat Intelligence дізналась про ряд вразливостей, що було викрито в плагіні KingComposer. Це плагін для WordPress, що встановлено на понад 100 000 сайтах. Під час дослідження цих уразливостей виявили незахищену вразливість міжсайтового сценарію (XSS).
Після кількох спроб зв’язатися з розробниками плагіна – це вдалося, і розробники випустили оновлення 29 червня 2020 року.
Як може бути використана така вразливість? Наприклад, якщо ви адміністратор сайту, який увійшов на вразливий сайт, то певний вбудований через вразливість JavaScript може бути використаний для створення нового “шкідливого” облікового запису адміністратора, який контролюється зловмисником.