Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Popup Builder de WordPress (CVE-2023-6294)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
12/02/2024
Última modificación:
24/04/2025

Descripción

El complemento Popup Builder de WordPress anterior a 4.2.6 no valida un parámetro antes de realizar una solicitud, lo que podría permitir a los usuarios con función de administrador realizar ataques SSRF en configuraciones de WordPress multisitio.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:sygnoos:popup_builder:*:*:*:*:*:wordpress:*:* 4.2.6 (excluyendo)