El plugin WP Popup Builder – Popup Forms and Marketing Lead Generation para WordPress es vulnerable a la ejecución de shortcode arbitrario a través de la acción AJAX wp_ajax_nopriv_shortcode_Api_Add en todas las versiones hasta, e incluyendo, la 1.3.5. Esta vulnerabilidad se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar do_shortcode. Esto permite que atacantes no autenticados ejecuten shortcodes arbitrarios.
La vulnerabilidad CVE-2024-9061 en el plugin WP Popup Builder – Popup Forms and Marketing Lead Generation para WordPress permite a atacantes no autenticados ejecutar shortcodes arbitrarios a través de la acción AJAX wp_ajax_nopriv_shortcode_Api_Add en versiones anteriores a la 1.3.6. Aunque la versión 1.3.5 incorpora una comprobación de nonce que impide el acceso a la función afectada, la versión 1.3.6 es la que incluye la verificación de autorización correcta para prevenir el acceso no autorizado. Los usuarios deben actualizar a la versión 1.3.6 o superior para mitigar esta vulnerabilidad.
Es crucial para los usuarios del plugin WP Popup Builder – Popup Forms and Marketing Lead Generation mantener sus instalaciones actualizadas a la última versión disponible (1.3.6 o superior) para protegerse de la ejecución de shortcode arbitrario no autorizado a través de la acción wp_ajax_nopriv_shortcode_Api_Add.