El plugin Popup Builder – Create highly converting, mobile friendly marketing popups para WordPress es vulnerable a accesos no autorizados debido a la falta de verificación de capacidades en varias funciones en todas las versiones hasta, e incluyendo, la 4.3.1. Aunque algunas funciones contienen una verificación de nonce, el nonce se puede obtener desde la página de perfil de un usuario logueado. Esto permite a suscriptores realizar varias acciones incluyendo eliminar suscriptores y realizar Server-Side Request Forgery a ciegas.
Para subsanar este problema, los usuarios afectados deben actualizar urgentemente a la última versión disponible del plugin. Además, se recomienda implementar medidas adicionales de seguridad como limitar el acceso al panel de administración solo a usuarios autorizados, controlar y validar la entrada de datos de usuarios suscritos y revisar los permisos de los roles de usuario para garantizar que no tengan más privilegios de los necesarios.
Es crucial para los usuarios mantener sus plugins actualizados y implementar las prácticas recomendadas de seguridad para proteger su sitio web de posibles vulnerabilidades. La rapidez en la aplicación de parches y la mejora de la configuración de seguridad son clave para prevenir futuros ataques.