Vulnerabilidad en PopupKit (CVE-2025-14895)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/02/2026
Última modificación:
10/02/2026
Descripción
El plugin PopupKit para WordPress es vulnerable a una omisión de autorización en todas las versiones hasta la 2.2.0, inclusive. Esto se debe a que el plugin no verifica correctamente que un usuario está autorizado para acceder al endpoint de la API REST /popup/logs. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor o superior, lean y eliminen datos analíticos, incluyendo tipos de dispositivos, información del navegador, países, URLs de referencia y métricas de campaña.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/popup-builder-block/tags/2.2.0/includes/Routes/Popup.php#L145
- https://plugins.trac.wordpress.org/browser/popup-builder-block/tags/2.2.0/includes/Routes/Popup.php#L32
- https://plugins.trac.wordpress.org/browser/popup-builder-block/tags/2.2.0/includes/Routes/Popup.php#L85
- https://plugins.trac.wordpress.org/changeset/3421671/popup-builder-block/trunk/includes/Routes/Popup.php
- https://research.cleantalk.org/cve-2025-14895
- https://www.wordfence.com/threat-intel/vulnerabilities/id/c13bb699-f065-4065-9ea5-bb86d24e09ab?source=cve