Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Popup Maker – Boost Sales, Conversions, Optins, Subscribers with the Ultimate WP Popup Builder <= 1.22.0 - Missing Authorization to Authenticated (Editor+) Arbitrary Plugin Installation (falta de autorizacion) - version 1.23.0

PLUGIN HIGH CVE-2026-8848

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Popup Maker, que permite la instalación arbitraria de plugins por usuarios autenticados con rol de Editor o superior. Esta falla, clasificada con una severidad alta (CVSS 7.2), puede comprometer la seguridad de tu sitio web y permitir la ejecución de código malicioso.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada en versiones del plugin Popup Maker hasta la 1.22.0. Esto permite a usuarios autenticados, como editores, instalar plugins arbitrarios sin las validaciones necesarias, exponiendo así el sitio a posibles ataques.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en la instalación de plugins maliciosos, comprometiendo la integridad del sitio y la seguridad de los datos. Esto podría traducirse en pérdida de confianza por parte de los usuarios y posibles repercusiones legales.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad al acceder como usuarios autenticados con permisos de Editor o superiores, permitiendo la instalación de plugins no autorizados.

Mitigación recomendada

Actualizar el plugin Popup Maker a la versión 1.23.0 o superior para corregir la vulnerabilidad. Revisar y restringir los permisos de los usuarios autenticados, limitando el acceso a funciones críticas. Realizar auditorías de seguridad periódicas para detectar posibles instalaciones no autorizadas.

Señales de detección

Monitorizar los registros de actividad para detectar intentos de instalación de plugins por usuarios con rol de Editor o superiores. Revisar configuraciones de seguridad y permisos de usuario.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Popup Maker hasta la 1.22.0. No se ha confirmado la existencia de casos en versiones posteriores a la 1.23.0.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

popup-maker

Popup Maker <= 1.20.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via title Parameter

MEDIUM PLUGIN

popup-maker

Popup Maker <= 1.20.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via popupID Parameter

MEDIUM PLUGIN

popup-maker

Popup Maker <= 1.20.2 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

popup-maker

Popup Maker – Boost Sales, Conversions, Optins, Subscribers with the Ultimate WP Popups Builder <= 1.20.2 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

popup-maker

Popup Maker <= 1.19.2 - Missing Authorization

MEDIUM PLUGIN

popup-maker

Popup Maker <= 1.19.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

popup-maker

Popup Maker <= 1.19.0 - Authenticated (Admin+) Stored Cross-Site Scripting

MEDIUM PLUGIN

popup-maker

Popup Maker – Popup for opt-ins, lead gen, & more <= 1.18.2 - Authenticated (Contributor+) Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad