WBase de Datos de Vulnerabilidades de WordPress

Alerta de Hong Kong XSS en WordPress Popup (CVE202515611)

Cross Site Scripting (XSS) en el plugin de caja emergente de WordPress
0
Compartidos
0
0
0
0
Nombre del plugin Plugin de caja emergente de WordPress AYS Pro
Tipo de vulnerabilidad Scripting entre sitios (XSS)
Número CVE CVE-2025-15611
Urgencia Medio
Fecha de publicación de CVE 2026-04-08
URL de origen CVE-2025-15611

Desglosando CVE-2025-15611 — XSS almacenado en el administrador a través de CSRF en el plugin Popup Box (< 5.5.0) y cómo proteger su sitio de WordPress

Autor: Experto en seguridad de Hong Kong

Fecha: 2026-04-08

Resumen: Se divulgó una vulnerabilidad de Cross-Site Scripting (XSS) almacenada de gravedad media (CVE-2025-15611) en el plugin WordPress Popup Box AYS Pro (versiones afectadas < 5.5.0). La vulnerabilidad permite a un atacante utilizar un vector CSRF para hacer que los usuarios privilegiados guarden contenido malicioso que se almacena y ejecuta de forma persistente. Este artículo explica el riesgo, la detección, la mitigación y los pasos prácticos que puede tomar de inmediato utilizando endurecimiento, correcciones de código y mitigaciones temporales en el borde.

Lo que sucedió (lenguaje sencillo)

Un plugin de popup ampliamente utilizado para WordPress publicó un aviso de seguridad: las versiones anteriores a 5.5.0 contienen una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que puede ser activada a través de Cross-Site Request Forgery (CSRF). En términos simples, un atacante puede crear una página o enlace que, cuando es visitado por un administrador (u otro usuario privilegiado) mientras está autenticado, provoca que HTML/JavaScript malicioso se almacene en el sitio. Ese contenido almacenado se ejecuta más tarde en el contexto del navegador de administradores o visitantes, permitiendo el robo de sesiones, acciones maliciosas, desfiguración del sitio, inyecciones de spam y más.

Si su sitio utiliza este plugin y está activo y no se ha actualizado a 5.5.0 o posterior, trate esto como urgente: actualice lo antes posible o aplique mitigaciones conservadoras de inmediato.

Resumen técnico

  • Vulnerabilidad: XSS almacenado en el administrador a través de Cross-Site Request Forgery (CSRF)
  • CVE: CVE-2025-15611
  • Versiones afectadas: versiones del plugin anteriores a 5.5.0
  • Privilegios requeridos: el ataque es elaborado por un actor no autenticado, pero la explotación requiere que un usuario privilegiado (por ejemplo, administrador) interactúe mientras está autenticado
  • CVSS (reportado): ~7.1 (medio)
  • Tipo: XSS persistente (almacenado) activado a través de CSRF

Cómo funciona la explotación (paso a paso)

  1. El plugin expone un formulario para administradores o un endpoint AJAX utilizado para crear o editar contenido de ventanas emergentes (título, cuerpo HTML, CSS, etc.).
  2. El endpoint acepta contenido y lo almacena sin verificar adecuadamente el origen de la solicitud (sin/insuficiente nonce o verificación de referer) y sin la debida sanitización/escapado de HTML.
  3. Un atacante elabora una página o un correo electrónico malicioso que contiene una solicitud falsificada (enlace o formulario de envío automático) dirigido al punto final de administrador vulnerable. La solicitud falsificada incluye cargas útiles de JavaScript incrustadas en un campo de contenido emergente (por ejemplo,