Popup Maker <= 1.16.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Popup Maker hasta la versión 1.16.8. Esta falla permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos a través de shortcodes.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin procesa los shortcodes, lo que permite la ejecución de código JavaScript no autorizado en el contexto de la sesión del usuario. Esto representa una superficie de ataque que puede ser explotada por usuarios con privilegios adecuados.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante robe información sensible, como cookies de sesión, o redirija a los usuarios a sitios maliciosos. Esto puede comprometer la integridad del sitio y afectar la confianza de los usuarios.

Vector de explotación

La explotación se lleva a cabo mediante la inserción de un shortcode malicioso por parte de un usuario autenticado que tenga permisos de colaborador o superiores, lo que permite ejecutar scripts en el navegador de otros usuarios que visiten la página afectada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Popup Maker a la versión 1.16.9 o superior. Además, se debe revisar la configuración de permisos de los usuarios y considerar limitar el acceso a funciones críticas del plugin.

Señales de detección

Señales de riesgo pueden incluir actividad sospechosa en los registros de acceso, como la ejecución de shortcodes no autorizados o cambios inesperados en el contenido de las páginas por parte de usuarios con privilegios.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.16.9 del plugin Popup Maker. Se recomienda verificar la versión instalada en todas las instalaciones del sitio.