La base de datos nacional de vulnerabilidades del gobierno de EE. UU. emitió un aviso sobre una vulnerabilidad de secuencias de comandos entre sitios almacenadas en el popular complemento Popup Maker para WordPress.
Creador de ventanas emergentes para WordPress
Se descubrió una vulnerabilidad en el complemento de WordPress «Popup Maker – Popup for opt-ins, lead gen, & more» que está instalado en más de 700,000 sitios web.
El complemento Popup Maker se integra con muchos de los formularios de contacto más populares con características diseñadas para generar conversiones en las tiendas WooCommerce, suscripciones a boletines por correo electrónico y otras aplicaciones populares relacionadas con la generación de prospectos.
Aunque el complemento solo existe desde 2021, ha experimentado un crecimiento fenomenal y obtuvo más de 4,000 reseñas de cinco estrellas.
Vulnerabilidad del creador de ventanas emergentes
La vulnerabilidad que afecta a este complemento se denomina secuencias de comandos entre sitios almacenados (XSS). Se llama «almacenado» porque un script malicioso se carga en el sitio web y se almacena en el propio servidor.
Las vulnerabilidades XSS generalmente ocurren cuando una entrada no puede desinfectar lo que se está cargando. En cualquier lugar donde un usuario pueda ingresar datos puede volverse vulnerable, existe una falta de control sobre lo que se puede cargar.
Esta vulnerabilidad específica puede ocurrir cuando un pirata informático puede obtener las credenciales de un usuario con al menos un nivel de entrada de colaborador que inicia el ataque.
El gobierno de los Estados Unidos Base de datos de vulnerabilidad nacional describe el motivo de la vulnerabilidad y cómo puede ocurrir un ataque:
“El complemento Popup Maker de WordPress anterior a 1.16.9 no valida ni escapa a uno de sus atributos de shortcode, lo que podría permitir a los usuarios con un rol tan bajo como colaborador realizar ataques de secuencias de comandos entre sitios almacenados”.
Un registro de cambios oficial publicado por el autor del complemento indica que el exploit permite que una persona con entrada de nivel de colaborador ejecute JavaScript.
El complemento creador de ventanas emergentes registro de cambios para la versión V1.16.9 notas:
«Seguridad: vulnerabilidad XSS parcheada que permite a los contribuyentes ejecutar JavaScript sin filtrar».
La empresa de seguridad WPScan (propiedad de Automattic) publicó una prueba de concepto que muestra cómo funciona el exploit.
“Como colaborador, coloque el siguiente código abreviado en una publicación/página
[pum_sub_form name_field_type=”fullname” label_name=”Name” label_email=”Email” label_submit=”Subscribe” placeholder_name=”Name” placeholder_email=”Email” form_layout=”block” form_alignment=”center” form_style=”default” privacy_consent_enabled=”yes” privacy_consent_label=”Notify me about related content and special offers.” privacy_consent_type=”radio” privacy_consent_radio_layout=”inline” privacy_consent_yes_label=”Yes” privacy_consent_no_label=”No” privacy_usage_text=”If you opt in above we use this information send related content, discounts and other special offers.” redirect_enabled redirect=”javascript:alert(/XSS/)”]
El XSS se activará al obtener una vista previa/ver la publicación/página y enviar el formulario”
Si bien no hay una descripción de qué tan malo puede ser el exploit, en general, las vulnerabilidades Stored XSS pueden tener graves consecuencias, incluida la toma de control del sitio completo, la exposición de los datos del usuario y la plantación de programas de caballos de Troya.
Ha habido actualizaciones posteriores desde que se emitió el parche original para la versión 1.16.9, incluida una actualización más reciente que corrige un error que se introdujo con el parche de seguridad.
La versión más actual del complemento Popup Maker es V1.17.1.
Los editores que tengan el complemento instalado deberían considerar actualizar la última versión.
Citas
Lea el aviso de la base de datos de vulnerabilidad nacional del gobierno de EE. UU.:
Lea el aviso de WPScan
Popup Maker < 1.16.9 – Contributor+ XSS almacenado a través del formulario de suscripción
Imagen destacada de Shutterstock/Asier Romero
Consultar el artículo en la publicación original
