{"id":3875,"date":"2024-05-31T18:45:10","date_gmt":"2024-05-31T18:45:10","guid":{"rendered":"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/"},"modified":"2024-05-31T18:45:10","modified_gmt":"2024-05-31T18:45:10","slug":"popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/","title":{"rendered":"Popup Builder <= 4.2.7 – Cross-Site Scripting Almacenado por Usuario Autenticado (Contributor+) a trav\u00e9s de JS Personalizado"},"content":{"rendered":"
La vulnerabilidad CVE-2024-2506 afecta al plugin de WordPress Popup Builder, permitiendo a usuarios autenticados con nivel de contributor y superior inyectar scripts web arbitrarios en p\u00e1ginas, lo que puede ser explotado para ejecutar acciones maliciosas en los navegadores de los usuarios.<\/div>\n

<\/p>\n

El plugin Popup Builder hasta la versi\u00f3n 4.2.7 es vulnerable a Cross-Site Scripting almacenado debido a una falta de saneamiento de entrada y escape de salida en los atributos proporcionados por el usuario. Para mitigar este riesgo, los usuarios deben actualizar el plugin a la \u00faltima versi\u00f3n disponible, que soluciona esta vulnerabilidad. Adicionalmente, se recomienda no asignar permisos de contributor a usuarios no confiables y no ejecutar scripts de terceros sin validar previamente su seguridad.<\/div>\n
Es fundamental mantener actualizados todos los plugins de WordPress y aplicar buenas pr\u00e1cticas de seguridad, como limitar los permisos de los usuarios y validar cualquier contenido externo antes de su ejecuci\u00f3n, para prevenir ataques de Cross-Site Scripting como el caso de Popup Builder.<\/div>\n","protected":false},"excerpt":{"rendered":"

La vulnerabilidad CVE-2024-2506 afecta al plugin de WordPress Popup Builder, permitiendo a usuarios autenticados con nivel de contributor y superior inyectar scripts web arbitrarios en p\u00e1ginas, lo que puede ser explotado para ejecutar acciones maliciosas en los navegadores de los usuarios. El plugin Popup Builder hasta la versi\u00f3n 4.2.7 es vulnerable a Cross-Site Scripting almacenado […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[1585],"class_list":["post-3875","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2024-2506"],"yoast_head":"\nPopup Builder <= 4.2.7 - Cross-Site Scripting Almacenado por Usuario Autenticado (Contributor+) a trav\u00e9s de JS Personalizado - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Popup Builder <= 4.2.7 - Cross-Site Scripting Almacenado por Usuario Autenticado (Contributor+) a trav\u00e9s de JS Personalizado - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"La vulnerabilidad CVE-2024-2506 afecta al plugin de WordPress Popup Builder, permitiendo a usuarios autenticados con nivel de contributor y superior inyectar scripts web arbitrarios en p\u00e1ginas, lo que puede ser explotado para ejecutar acciones maliciosas en los navegadores de los usuarios. El plugin Popup Builder hasta la versi\u00f3n 4.2.7 es vulnerable a Cross-Site Scripting almacenado […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-05-31T18:45:10+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"1 minute\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/\",\"url\":\"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/\",\"name\":\"Popup Builder <= 4.2.7 - Cross-Site Scripting Almacenado por Usuario Autenticado (Contributor+) a trav\u00e9s de JS Personalizado - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-05-31T18:45:10+00:00\",\"dateModified\":\"2024-05-31T18:45:10+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Popup Builder <= 4.2.7 – Cross-Site Scripting Almacenado por Usuario Autenticado (Contributor+) a trav\u00e9s de JS Personalizado\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Popup Builder <= 4.2.7 - Cross-Site Scripting Almacenado por Usuario Autenticado (Contributor+) a trav\u00e9s de JS Personalizado - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/","og_locale":"en_US","og_type":"article","og_title":"Popup Builder <= 4.2.7 - Cross-Site Scripting Almacenado por Usuario Autenticado (Contributor+) a trav\u00e9s de JS Personalizado - SeguridadWordPress.es","og_description":"La vulnerabilidad CVE-2024-2506 afecta al plugin de WordPress Popup Builder, permitiendo a usuarios autenticados con nivel de contributor y superior inyectar scripts web arbitrarios en p\u00e1ginas, lo que puede ser explotado para ejecutar acciones maliciosas en los navegadores de los usuarios. El plugin Popup Builder hasta la versi\u00f3n 4.2.7 es vulnerable a Cross-Site Scripting almacenado […]","og_url":"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-05-31T18:45:10+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"1 minute"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/","url":"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/","name":"Popup Builder <= 4.2.7 - Cross-Site Scripting Almacenado por Usuario Autenticado (Contributor+) a trav\u00e9s de JS Personalizado - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-05-31T18:45:10+00:00","dateModified":"2024-05-31T18:45:10+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/popup-builder-4-2-7-cross-site-scripting-almacenado-por-usuario-autenticado-contributor-a-traves-de-js-personalizado\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"Popup Builder <= 4.2.7 – Cross-Site Scripting Almacenado por Usuario Autenticado (Contributor+) a trav\u00e9s de JS Personalizado"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/3875"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=3875"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/3875\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=3875"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=3875"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=3875"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}