Plugin de WordPress para crear Pop up inyecta código malicioso

Las vulnerabilidades podrían permitir a los atacantes no autenticados inyectar código JavaScript malicioso en ventanas emergentes, para así robar información y potencialmente apoderarse por completo de los sitios objetivo.

Popup Builder permite a los propietarios de sitios crear, implementar y administrar ventanas emergentes personalizables que contienen una amplia gama de contenido desde código HTML y JavaScript hasta imágenes y videos.

Este Popup Builder desarrollado por Sygnoos, se comercializa como una herramienta que puede ayudar a aumentar las ventas y los ingresos a través de ventanas emergentes utilizadas para mostrar anuncios, solicitudes de suscripción, descuentos y distintos tipos de contenido promocional.

XSS no autenticado y fallas en la divulgación de información

«Una vulnerabilidad permitió que un atacante no autenticado inyectara JavaScript malicioso en cualquier ventana emergente publicada, que luego se ejecutaría cuando se cargara la ventana emergente», señaló Ram Gall, investigador que descubrió el problema de seguridad.

«Por lo general, los atacantes usan una vulnerabilidad como esta para redirigir a los visitantes del sitio a otros sitios de publicidad maliciosa o robar información confidencial de sus navegadores, aunque también podría usarse para la toma de control del sitio si un administrador visita o previsualiza una página que contiene la ventana emergente infectada mientras está conectado».

El otro error hizo posible que cualquier usuario conectado (con permisos tan bajos como un suscriptor) obtuviera acceso a las funciones del complemento, para exportar listas de suscriptores de boletines, así como para exportar información de configuración del sistema con una simple solicitud POST para administrar post.php.

Las fallas son rastreadas como CVE-2020-10196 y CVE-2020-10195. Si bien la compañía actualizó el plugin aún hay muchos usuarios sin percatarse del update.