Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin Popup Builder, que afecta a versiones hasta la 3.72. Esta falla permite que usuarios no autorizados realicen acciones a través de peticiones AJAX.
Fuente base de datos: Wordfence Intelligence
Popup Builder <= 3.72 Missing Authorization on AJAX actions
PLUGIN
MEDIUM
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se origina por la falta de controles de autorización en ciertas acciones AJAX del plugin Popup Builder. Esto permite que cualquier usuario, sin importar su nivel de acceso, pueda ejecutar funciones que deberían estar restringidas.
Impacto potencial
El impacto potencial incluye la posibilidad de que atacantes puedan manipular configuraciones del plugin o acceder a datos sensibles, lo que podría comprometer la integridad del sitio y la información de los usuarios.
Vector de explotación
Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes AJAX manipuladas a las funciones del plugin, lo que les permite ejecutar acciones no autorizadas.
Mitigación recomendada
Se recomienda actualizar el plugin Popup Builder a la versión 3.72 o superior, donde se ha solucionado esta vulnerabilidad. Además, se sugiere realizar una revisión de los permisos de usuario y aplicar medidas de seguridad adicionales en la configuración del sitio.
Señales de detección
Señales de posible explotación incluyen registros de actividad inusual en las peticiones AJAX, así como cambios inesperados en la configuración del plugin o en los datos asociados a los popups.
Alcance afectado
Las versiones afectadas son todas las versiones del plugin Popup Builder anteriores a la 3.72. Se recomienda a los administradores de sitios verificar la versión instalada.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
popup-builder
Popup Builder - Create highly converting, mobile friendly marketing popups. <= 4.4.2 - Improper Authorization to Unauthenticated Subscriber Removal via Predictable Tokens
MEDIUM
PLUGIN
popup-builder
Popup Builder – Create highly converting, mobile friendly marketing popups. <= 4.4.1 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
popup-builder
Popup Builder <= 4.3.4 - Authenticated (Admin+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
popup-builder
Popup Builder <= 4.3.6 - Sensitive Information Exposure via Imported Subscribers CSV File
HIGH
PLUGIN
popup-builder
Popup Builder – Create highly converting, mobile friendly marketing popups <= 4.3.1 - Missing Authorization and Nonce Exposure
HIGH
PLUGIN
popup-builder
Popup Builder <= 4.3.0 - Missing Authorization in Multiple AJAX Actions
MEDIUM
PLUGIN
popup-builder
Popup Builder <= 4.2.7 - Authenticated(Contributor+) Stored Cross-Site Scripting via Custom JS
MEDIUM
PLUGIN
popup-builder
Popup Builder <= 4.2.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto