Vulnerabilidad de WordPress Popup Maker afecta hasta más de 700,000 sitios

  • HatumSEO
  • Noticias
  • Vulnerabilidad de WordPress Popup Maker afecta hasta más de 700,000 sitios

El complemento Popup Maker WordPress parchó una vulnerabilidad XSS que podría permitir que un atacante cargue JavaScript malicioso

Los Estados Unidos La base de datos nacional de vulnerabilidades del gobierno emitió un aviso sobre una vulnerabilidad de secuencias de comandos entre sitios almacenadas en el popular complemento Popup Maker para WordPress.

Creador de ventanas emergentes para WordPress

Se descubrió una vulnerabilidad en el complemento de WordPress «Popup Maker – Popup for opt-ins, lead gen, & more» que está instalado en más de 700,000 sitios web.

El complemento Popup Maker se integra con muchos de los formularios de contacto más populares con características diseñadas para generar conversiones en las tiendas WooCommerce, suscripciones a boletines por correo electrónico y otras aplicaciones populares relacionadas con la generación de prospectos.

Aunque el complemento solo existe desde 2021, ha experimentado un crecimiento fenomenal y obtuvo más de 4,000 reseñas de cinco estrellas.

Vulnerabilidad del creador de ventanas emergentes

La vulnerabilidad que afecta a este complemento se denomina secuencias de comandos entre sitios almacenados (XSS) Se llama «almacenado» porque un script malicioso se carga en el sitio web y se almacena en el propio servidor.

Las vulnerabilidades XSS generalmente ocurren cuando una entrada no puede desinfectar lo que se está cargando. En cualquier lugar donde un usuario pueda ingresar datos puede volverse vulnerable, existe una falta de control sobre lo que se puede cargar.

Esta vulnerabilidad específica puede ocurrir cuando un pirata informático puede obtener las credenciales de un usuario con al menos un nivel de acceso de colaborador que inicia el ataque.

Los Estados Unidos La base de datos de vulnerabilidad nacional del gobierno describe el motivo de la vulnerabilidad y cómo puede ocurrir un ataque: National Vulnerability Database

“The Popup Maker WordPress plugin before 1.16.9 does not validate and escape one of its shortcode attributes, which could allow users with a role as low as contributor to perform Stored Cross-Site Scripting attacks.”

“El complemento Popup Maker de WordPress anterior a 1.16.9 no valida ni escapa a uno de sus atributos de shortcode, lo que podría permitir a los usuarios con un rol tan bajo como colaborador realizar ataques de secuencias de comandos entre sitios almacenados”.

Un registro de cambios oficial publicado por el autor del complemento indica que el exploit permite que una persona con acceso de nivel de colaborador ejecute JavaScript.

El registro de cambios del complemento Popup Maker para la versión V1.16.9 señala: changelog

“Security: Patched XSS vulnerability allowing contributors to run unfiltered JavaScript.”

«Seguridad: vulnerabilidad XSS parcheada que permite a los contribuyentes ejecutar JavaScript sin filtrar».

La empresa de seguridad WPScan (propiedad de Automattic) publicó una prueba de concepto que muestra cómo funciona el exploit.

“As a contributor, put the following shortcode in a post/page

[pum_sub_form name_field_type=”fullname” label_name=”Name” label_email=”Email” label_submit=”Subscribe” placeholder_name=”Name” placeholder_email=”Email” form_layout=”block” form_alignment=”center” form_style=”default” privacy_consent_enabled=”yes” privacy_consent_label=”Notify me about related content and special offers.” privacy_consent_type=”radio” privacy_consent_radio_layout=”inline” privacy_consent_yes_label=”Yes” privacy_consent_no_label=”No” privacy_usage_text=”If you opt in above we use this information send related content, discounts and other special offers.” redirect_enabled redirect=”javascript:alert(/XSS/)”]

The XSS will be triggered when previewing/viewing the post/page and submitting the form”

“Como colaborador, coloque el siguiente código abreviado en una publicación/página

[pum_sub_form name_field_type=”fullname” label_name=”Nombre” label_email=”Correo electrónico” label_submit=”Suscribirse” placeholder_name=”Nombre” placeholder_email=”Correo electrónico” form_layout=”bloquear” form_alignment=”centro” form_style=”predeterminado” privacy_consent_enabled=”

El XSS se activará al obtener una vista previa/ver la publicación/página y enviar el formulario”

Si bien no hay una descripción de qué tan malo puede ser el exploit, en general, las vulnerabilidades Stored XSS pueden tener graves consecuencias, incluida la toma de control del sitio completo, la exposición de los datos del usuario y la plantación de programas de caballos de Troya.

Ha habido actualizaciones posteriores desde que se emitió el parche original para la versión 1.16.9, incluida una actualización más reciente que corrige un error que se introdujo con el parche de seguridad.

La versión más actual del complemento Popup Maker es V1.17.1.

Los editores que tengan el complemento instalado deberían considerar actualizar la última versión.

Citas

Leer los EE. UU. Aviso de la base de datos de vulnerabilidad nacional del gobierno:

CVE-2022-4381 Detalle CVE-2022-4381 Detail

Lea el aviso de WPScan

Popup Maker < 1.16.9 – Contributor+ XSS almacenado a través del formulario de suscripción Popup Maker < 1.16.9 – Contributor+ Stored XSS via Subscription Form

Imagen destacada de Shutterstock/Asier Romero

Leer el articulo original en Search Engine Journal.

¡Danos un Voto!

¿Tienes una pregunta?

Luis Narciso
Sobre SEO
(Posicionamiento Web)

Frank Fajardo
Sobre Diseño Web, Anuncios, Diseño y Redes Sociales