No início desse mês , dia 04 de março a equipe de inteligência contra segurança do plugin Wordfence descobriu algumas vulnerabilidades no Popup Builder, plugin que serve para criar pop-up em sites. Estimasse que ele está instalado em mais de 100 mil sites.
Os perigos encontrados foi que o invasor, mesmo não autenticado, conseguia injetar JavaScript malicioso em qualquer pop-up publicado e seria executado sempre que ele fosse carregado.
O outro problema, era que qualquer usuário logado, mesmo com mínimas permissões, poderiam exportar uma lista de todos assinantes de boletins e exportar informações de configurações do sistema e conceder acesso a outros recursos do plugin.
As correções já foram feitas na atualização 3.64.1, então é recomendável que atualize urgente o mesmo.
Veja mais no artigo do site do Wordfence (em inglês). Clique aqui