WordPress Popup Builder tiene serias fallas de seguridad

El popular Popup Plugin Popup Builder tiene muchas vulnerabilidades. Estas vulnerabilidades podrían permitir que un atacante inyecte JavaScript malicioso en una ventana emergente.

Se encontró una vulnerabilidad en el complemento Popup Builder

WordFence encontró una vulnerabilidad el 4 de marzo de 2020 y luego se puso en contacto con los desarrolladores. La vulnerabilidad en el complemento de WordPress afecta a las versiones de Popup Builder inferiores a la versión 3.64.1.

Los desarrolladores del complemento subieron un archivo corregido una semana después, el 11 de marzo, cuando el complemento actualizado estaba disponible para descargar.

Cambiar el registro

El registro de cambios explica la actualización. Es importante que el registro de cambios sea descriptivo para que el usuario del complemento pueda saber que se necesita algo urgente.

Desafortunadamente, algunos desarrolladores de WordPress no mencionan el problema de seguridad ni lo describen de manera vaga y general.

El registro de cambios de Popup Builder indica que existe una actualización de seguridad, pero no menciona el significado o la validez de la actualización. No está claro, pero al menos revelan que la actualización aborda el problema de seguridad.

La actualizaci√≥n se describe como “Parches de seguridad”, que t√©cnicamente informa que se ha resuelto un problema de seguridad, pero no proporciona la urgencia necesaria para la vulnerabilidad.

Aquí hay una captura de pantalla del registro de cambios de Popup Builder:

captura de pantalla del registro de cambios del complemento de WordPress Builder Builder

¬ŅCu√°les son las vulnerabilidades?

Hay dos vulnerabilidades. La primera vulnerabilidad permite que alguien inserte código JavaScript malicioso en una ventana emergente.

La segunda vulnerabilidad permite a un atacante descargar listas de suscriptores y obtener acceso a muchas funciones de complementos.

Esta vulnerabilidad afecta a m√°s de 100,000 usuarios de complementos. Es importante que los editores descarguen y actualicen sus complementos.

Seg√ļn el fabricante del complemento de seguridad de Wordfence:

“Los atacantes suelen aprovechar esta vulnerabilidad para redirigir a los visitantes del sitio a sitios de anuncios maliciosos o robar informaci√≥n confidencial de sus navegadores, aunque tambi√©n se puede usar para secuestrar un sitio si un administrador visita o ve una p√°gina que contiene una ventana emergente infectado durante una conexi√≥n “.

La actualización de este complemento es muy importante. De lo contrario, puede invitar a los piratas informáticos a tomar el control del sitio.

Lea el anuncio de WordFence:

Las vulnerabilidades en el complemento Popup Builder afectan a m√°s de 100,000 sitios