Resumen ejecutivo
Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Popup Maker, afectando a versiones hasta la 1.20.4. Esta falla permite a usuarios autenticados con rol de colaborador o superior inyectar scripts maliciosos.
Fuente base de datos: Wordfence Intelligence
Popup Maker <= 1.20.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via popupID Parameter
PLUGIN
MEDIUM
CVE-2025-4205
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se origina en el parámetro popupID, que no valida adecuadamente las entradas, permitiendo la ejecución de código JavaScript en el contexto del navegador de otros usuarios. Esto se clasifica como una vulnerabilidad de Cross-Site Scripting (XSS) almacenado.
Impacto potencial
El impacto potencial incluye la posibilidad de robo de sesiones, redirecciones a sitios maliciosos y compromisos de la integridad de los datos de los usuarios. Esto puede afectar la confianza del usuario y la reputación del negocio.
Vector de explotación
Los atacantes pueden explotar esta vulnerabilidad mediante la creación de un popup que contenga scripts maliciosos, los cuales se ejecutarán cuando otros usuarios accedan al contenido afectado.
Mitigación recomendada
Actualizar el plugin Popup Maker a la versión 1.20.5 o superior. Además, se recomienda implementar medidas de validación de entradas y sanitización de datos en el desarrollo de plugins personalizados.
Señales de detección
Señales de explotación incluyen actividad inusual en los logs de acceso, reportes de comportamientos extraños por parte de los usuarios y la aparición de scripts no autorizados en el contenido de los popups.
Alcance afectado
Las versiones del plugin Popup Maker hasta la 1.20.4 son vulnerables. Se recomienda revisar todas las instalaciones que utilicen este plugin.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
popup-maker
Popup Maker <= 1.20.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via title Parameter
MEDIUM
PLUGIN
popup-maker
Popup Maker <= 1.20.2 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
popup-maker
Popup Maker – Boost Sales, Conversions, Optins, Subscribers with the Ultimate WP Popups Builder <= 1.20.2 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
popup-maker
Popup Maker <= 1.19.0 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
popup-maker
Popup Maker <= 1.19.0 - Authenticated (Admin+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
popup-maker
Popup Maker – Popup for opt-ins, lead gen, & more <= 1.18.2 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
popup-maker
Popup Maker <= 1.16.10 - Authenticated (Administrator+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
popup-maker
Popup Maker <= 1.16.8 - Authenticated (Contributor+) Cross-Site Scripting
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto