El complemento WordPress Popup Builder contiene errores que afectan a más de 200.000 sitios.

Un complemento de WordPress muy popular llamado Popup Builder tenía un error en sus versiones anteriores que afectó a cientos de miles de sitios web. Se informó que el equipo de WebARX tenía varias vulnerabilidades y ahora ha recibido una actualización de los fabricantes para corregirlas. Por lo tanto, se recomienda a los administradores del sitio de WordPress que actualicen sus complementos para mantenerse seguros.

Vulnerabilidad del complemento de WordPress Pop-up Builder

El complemento WordPress Popup Builder contiene errores que afectan a más de 200.000 sitios.

Dado que WordPress es la comunidad de blogs más grande, hay una serie de desarrolladores externos que proporcionan varios complementos para agregar funciones típicas a los sitios web. Si bien estos complementos agregan valor, a menudo pueden contener errores que permiten a un oponente secuestrar sitios web o depreciar su valor.

Uno de estos complementos con varias vulnerabilidades descubiertas es el Generador de ventanas emergentes, que está siendo descargado más de 200.000 veces por varios sitios de WordPress. El equipo de seguridad de WebARX descubierto varias vulnerabilidades en el complemento, la principal con la autorización de métodos AJAX.

Los investigadores dijeron que «Un token de nonce, por otro lado, se verifica, pero dado que ese token de nonce se envía a todos los usuarios, independientemente de sus capacidades, cualquier usuario puede ejecutar los métodos AJAX vulnerables siempre que pasen el token de nonce.. «

Por lo tanto, un usuario que haya iniciado sesión puede tener privilegios extremos en el sitio si puede obtener el token nonce. Esto le permite realizar actividades que pueden obstaculizar la popularidad del sitio, incluso siendo un valor negativo. Los investigadores dijeron que Los atacantes pueden realizar actividades como enviar boletines informativos falsos, agregar y eliminar suscriptores e incluso incluir un archivo local.

Los investigadores informaron sobre estas vulnerabilidades a los fabricantes de complementos, quienes identificaron los errores existentes en la versión 3.71 y posteriores. Finalmente, los fabricantes lanzaron una versión actualizada 3.72 y pronto lanzaron versión 3.73 abordar más errores relacionados con AJAX.

Por lo tanto, se recomienda a todos los administradores de sitios de WordPress que actualicen este complemento como una mejor práctica para evitar ataques cibernéticos contra sus sitios y dañar su reputación.