Popup Maker <= 1.17.1 - Missing Authorization via save_popup_enabled_state

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Popup Maker, que afecta a las versiones hasta la 1.17.1. Esta vulnerabilidad permite la falta de autorización al guardar el estado de habilitación de los popups, lo que puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad radica en la falta de controles adecuados de autorización en el proceso de guardado del estado de habilitación de los popups. Esto significa que un atacante podría potencialmente modificar la configuración de los popups sin la debida autorización, afectando así la funcionalidad del sitio.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, permitiendo a un atacante no autorizado alterar la visibilidad y el comportamiento de los popups, lo que podría llevar a la difusión de contenido no deseado o malicioso. Esto puede afectar la confianza del usuario y la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas para modificar el estado de los popups sin la debida autorización, aprovechando la falta de validación en el plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Popup Maker a la versión 1.18.0 o superior. Además, es aconsejable revisar las configuraciones de permisos y autorizar adecuadamente las acciones relacionadas con la gestión de popups.

Señales de detección

Señales de posible explotación incluyen cambios inesperados en la configuración de los popups, así como un aumento en el tráfico o en las interacciones con los popups que no se corresponden con el comportamiento habitual del sitio.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Popup Maker hasta la 1.17.1. Las instalaciones que no han sido actualizadas a la versión 1.18.0 están en riesgo.