El plugin Popup Maker – Boost Sales, Conversions, Optins, Subscribers with the Ultimate WP Popups Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro ‘close_text’ en todas las versiones hasta, e incluyendo, la 1.19.0 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que alguien acceda a la página inyectada.
La vulnerabilidad de Cross-Site Scripting Almacenado puede ser explotada por usuarios malintencionados para realizar ataques como robo de datos de sesión, redirección a sitios maliciosos, o mostrar contenido no deseado a los visitantes del sitio web. Para remediar este problema, se recomienda a los usuarios actualizar su plugin Popup Maker a la última versión disponible (o superior) que haya parcheado esta vulnerabilidad. Además, se aconseja a los administradores del sitio web restringir el acceso de los roles de usuario a la funcionalidad de inyección y también validar y sanitizar todas las entradas de usuario para prevenir futuros ataques de XSS.
Es fundamental que los usuarios mantengan sus plugins actualizados y sigan las mejores prácticas de seguridad para proteger sus sitios web de este tipo de vulnerabilidades. La comunidad de WordPress recomienda a todos los usuarios afectados por esta vulnerabilidad que tomen medidas inmediatas para parchear sus sistemas y evitar posibles intrusos.