La vulnerabilidad Missing Authorization en el plugin Popup Builder para WordPress permite la modificación no autorizada de datos y la pérdida de datos debido a la ausencia de una verificación de capacidades en todas las acciones AJAX. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, realizar múltiples acciones no autorizadas, como eliminar suscriptores e importar suscriptores para llevar a cabo ataques de scripting entre sitios almacenados.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Popup Builder a la versión 4.3.1 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere a los administradores del sitio restringir el acceso a las funciones del plugin solo a los roles de usuario necesarios, limitando el riesgo de posibles ataques. Es fundamental mantener actualizados todos los plugins y temas de WordPress para mitigar posibles vulnerabilidades y proteger la integridad de los datos.
La falta de autorización en las acciones AJAX del plugin Popup Builder puede tener graves consecuencias para la seguridad de un sitio web WordPress. Al seguir las recomendaciones de actualización y la implementación de buenas prácticas de seguridad, los usuarios pueden reducir significativamente el riesgo de compromiso de la información y proteger la privacidad de los datos de los usuarios.