Vulnerabilidad en plugin Instant Popup Builder para WordPress (CVE-2026-3475)

El plugin Instant Popup Builder para WordPress es vulnerable a la Ejecución Arbitraria de Shortcode No Autenticada en todas las versiones hasta la 1.1.7 inclusive. Esto se debe a que la función handle_email_verification_page() construye una cadena de shortcode a partir de parámetros GET proporcionados por el usuario (token, email) y la pasa a do_shortcode() sin sanear correctamente los caracteres de corchete, combinado con la falta de comprobaciones de autorización en el hook init. Aunque se aplican sanitize_text_field() y esc_attr(), ninguna de las funciones elimina o escapa los caracteres de corchete ([ y ]). La expresión regular de shortcode de WordPress utiliza [^\]\/]* para hacer coincidir el contenido dentro de las etiquetas de shortcode, lo que significa que un carácter ] en el valor del token cierra prematuramente la etiqueta de shortcode. Esto hace posible que atacantes no autenticados inyecten y ejecuten shortcodes registrados arbitrarios al crear un parámetro de token malicioso que contenga ] seguido de sintaxis de shortcode arbitraria.