En noviembre de 2023, el Instituto Nacional de Ciberseguridad (INCIBE) alertó sobre una vulnerabilidad crítica en el plugin Popup Builder de WordPress, catalogada como CVE-2023-6000. Esta falla permitía a atacantes inyectar código JavaScript malicioso en ventanas emergentes ya existentes, facilitando ataques de tipo Cross-Site Scripting (XSS) almacenado. La información técnica sobre este problema también está documentada en el NVD, que lo clasifica con un puntaje alto en su nivel de severidad.
El impacto de esta vulnerabilidad quedó en evidencia cuando el malware Balada Injector comprometió más de 7.000 sitios, como se describe en un artículo publicado por TuxCare. Este malware, activo desde 2017, es conocido por redirigir a los visitantes de sitios infectados a páginas maliciosas, así como por desplegar cargas útiles adicionales que comprometen aún más los servidores.
El blog de ciberseguridad WeLiveSecurity destacó que, además de los ataques directos, los ciberdelincuentes han utilizado la vulnerabilidad para insertar usuarios administradores falsos y subir plugins con puertas traseras, como «wp-felony.php». Esto les permite mantener el control sobre los sitios incluso después de ser detectados, tal como lo indica un informe reciente disponible en WeLiveSecurity.
Por suerte, el equipo de WPScan confirmó que la vulnerabilidad fue solucionada en la versión 4.2.3 del plugin Popup Builder. En su blog oficial, recomiendan a los usuarios actualizar de inmediato para prevenir futuras explotaciones. Puedes leer más sobre este parche en el artículo de WPScan.
Como recomendación general, los expertos en seguridad subrayan la necesidad de mantener siempre actualizados los plugins y temas de WordPress para reducir la superficie de ataque. Si necesitas asistencia profesional para auditar y proteger tu sitio de amenazas como Balada Injector, no dudes en contactarnos. Nuestro equipo en SeguridadWP está preparado para ofrecer soluciones efectivas y personalizadas.