SOVA, El nuevo troyano bancario para Android
A inicios del mes de agosto del 2021 investigadores de ThreatFabric descubrieron un troyano bancario denominado SOVA (búho en ruso), el cual está en fase de desarrollo inicial, sin embargo, tiene potencial para convertirse en una amenaza de alto riesgo.
SOVA en su primera versión tiene características similares a otros troyanos, como la superposición bancaria, manipulación de notificaciones y keylogging, pero los creadores de SOVA plantean añadir características que permitan realizar ataques de denegación de servicio distribuidos (DDoS) , hombre en el medio (MiTM) y funcionalidades de ransomware.
Los autores del malware han anunciado una superposición de tres etapas, lo que podría indicar la descarga de software adicional en el dispositivo.
Los investigadores atribuyen como característica destacada de SOVA el robo de cookies de sesión, lo cual permitiría a los atacantes tener acceso a sesiones válidas de los usuarios sin la necesidad de conocer las credenciales, para ello SOVA creará un WebView para abrir una URL web legítima para la aplicación de destino y robará las cookies una vez que la víctima inicie sesión correctamente, utilizando el CookieManager de Android.
El troyano actualmente está dirigido a aplicaciones bancarias móviles de bancos en Estados Unidos, Reino Unido, Rusia, Alemania, Turquía, España, Italia, Australia y Ucrania, sin embargo, en foros de Dark Web los autores de SOVA ofrecen el desarrollo para otros bancos según la demanda de quien adquiera el software.
ThreatFabric ha publicado algunos indicadores de compromiso que se detallan a continuación:
Hash de versiones del malware:
- 8a6889610a18296e812fabd0a4ceb8b75caadc5cec1b39e8173c3e0093fd3a57
- efb92fb17348eb10ba3a93ab004422c30bcf8ae72f302872e9ef3263c47133a7
- dd8a5a1a8632d661f152f435b7afba825e474ec0d03d1c5ef8669fdc2b484165
- b2e592c5cf8ccc944c06a11ff156efdfa4233fe46e2281bab3fd238f03b505e3
URLs de comunicación C2
- hxxp://l8j1nsk3j5h1msal973nk37[.]divertido
- hxxp://a0545193.xsph[.]ru
Carteras de criptomonedas
- BTC 18PJPLZutdZUV16uiXkX9KXX1kHw5UiJHV
- ETH 0xbD1bB3101fCc1A2724C3c5c4F10Fa062DF87E134
- BNB bnb1lwf4kzw74wuf0zmsg25fjh44pzpdwhavn3n9dq
- TRX TUGyDe7eGJi2DVDMxc2KExksF29vHsZcQm
Se recomienda no instalar aplicaciones que no sean verificadas por la tienda de aplicaciones de Android (Google Play Store), o aplicaciones bancarias no reconocidas por su institución financiera.
Más información:
Vulnerabilidad crítica en VMware de ejecución remota de código
VMware ha corregido una vulnerabilidad crítica CVE-2021-22005 la cual tiene una calificación de 9.8/10 en la escala CVSSv3 que afectan a los siguientes productos:
- VMware vCenter Server
- VMware Cloud Foundation.
Un actor malintencionado con acceso de red al puerto 443 en vCenter Server puede aprovechar del error para ejecutar código en vCenter Server cargando un archivo malicioso desde internet según afirma la seguridad de VMWare.
A continuación, los productos y versiones afectadas con la versión recomendada por VMware:
| Productos | Versión | Versión corregida |
| vCenter Server | 7.0 | 7.0 U2c |
| vCenter Server | 6.7 | 6.7 U3o |
| vCenter Server | 6.5 | 6.5 U3q |
| Cloud Foundation (vCenter Server) | 4.x | KB85718 (4.3.1) |
| Cloud Foundation (vCenter Server) | 3.x | KB85719 (3.10.2.2) |
Las versiones vCenter Server 6.7 Windows no se ven afectados por la Vulnerabilidad CVE-2021-22005.
Detalles de la solución recomendada por el fabricante:
En caso de no ser factible la actualización inmediata, una medida temporal es aplicar el Workaround recomendado por Vmware, el cual se encuentra en el siguiente enlace:
Vulnerabilidades en Zimbra Collaboration Suite
Ha sido liberada una actualización de seguridad que corrige vulnerabilidades en la suite de Zimbra Collaboration. Estas vulnerabilidades con identificador CVE-2021-34807, CVE-2021-35209, CVE-2021-35208 y CVE-2021-35207 afectan en parte al servidor y cliente web e involucran varias versiones.
A continuación se detalla un resumen de las vulnerabilidades encontradas y las versiones afectadas:
- CVE-2021-34807 – Existe una vulnerabilidad de redireccionamiento abierto en / preauth Servlet en Zimbra Collaboration Suite que afecta hasta la versión 9.0, excluyendo la versión 8.8.15 patch 23. Un atacante debería haber obtenido un token de autenticación de zimbra válido o un token de autorización previa válido para aprovechar la vulnerabilidad, y una vez que se obtiene el token, el atacante podría redirigir a un usuario a cualquier URL a través de isredirect = 1 & redirectURL = junto con los datos del token.
- CVE-2021-35209 – Se descubrió un problema en ProxyServlet.java en el servlet / proxy en Zimbra Collaboration Suite en las versiones 8.8.x antes de la versión 8.8.15 Patch 23 y versión 9.x antes de versión 9.0.0 Patch 16. La vulnerabilidad consiste en que el valor del encabezado X-Host sobrescribe el valor del encabezado Host en solicitudes proxy.
- CVE-2021-35208 – Se descubrió un problema en ZmMailMsgView.js en el componente Calendar Invite en Zimbra Collaboration Suite en las versiones 8.8.x antes de la versión 8.8.15 Patch 23. Un atacante podría colocar HTML que contenga JavaScript ejecutable dentro de los atributos de los elementos.
- CVE-2021-35207 – Se descubrió un problema en Zimbra Collaboration Suite con versión 8.8.x antes de la versión 8.8.15 Patch 23 y 9.0 antes de 9.0.0 Patch 16. Existe una vulnerabilidad XSS en el componente de inicio de sesión de Zimbra Web Client, en la que un atacante puede ejecutar JavaScript arbitrario agregando JavaScript ejecutable a el parámetro loginErrorCode de la URL de inicio de sesión.
Estas vulnerabilidades han sido solucionadas en la versión 9.0.0 bajo el parche 16. Se recomienda mantener actualizados los sistemas a su versión estable más reciente.
Para mayor información:
PrintNightmare: Vulnerabilidad sin parche afecta al servicio de cola de impresión de Windows – CVE-2021-34527
Microsoft lanzó el 01/07/2021 una vulnerabilidad identificada como CVE-2021-34527, que afecta al servicio de cola de impresión de Windows y permitiría la ejecución de código remoto en los sistemas con dicho servicio, incluso desde las cuentas de usuarios que sólo tienen permisos básicos. Cabe mencionar, que este problema es similar pero distinto de la vulnerabilidad a la que se le asigna CVE-2021-1675, que aborda una vulnerabilidad diferente en RpcAddPrinterDriverEx (). El vector de ataque también es diferente al CVE-2021-1675 que fue abordado por la actualización de seguridad publicada el 8 de junio de 2021.
La vulnerabilidad de ejecución remota de código se explota con éxito cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA, podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario.
Los requisitos previos para una explotación exitosa consisten en:
- Servicio de cola de impresión habilitado en el sistema de destino.
- Conectividad de red al sistema de destino (se ha obtenido el acceso inicial).
- Hash o contraseña para una cuenta de usuario (o computadora) con pocos privilegios.
Microsoft aun no ha asignado severidad a la vulnerabilidad identificada como PrintNightmare bajo ID CVE-2021-34527. A continuación, se detallan los productos afectados:
| CVE | Impacto | Producto Afectado |
| CVE-2021-34527 | Ejecución remota de código | Windows Server 2012 R2 (Server Core installation) |
| CVE-2021-34527 | Ejecución remota de código | Windows Server 2012 R2 |
| CVE-2021-34527 | Ejecución remota de código | Windows Server 2012 (Server Core installation) |
| CVE-2021-34527 | Ejecución remota de código | Windows Server 2012 |
| CVE-2021-34527 | Ejecución remota de código | Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) |
| CVE-2021-34527 | Ejecución remota de código | Windows Server 2008 R2 for x64-based Systems Service Pack 1 |
| CVE-2021-34527 | Ejecución remota de código | Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) |
| CVE-2021-34527 | Ejecución remota de código | Windows Server 2008 for x64-based Systems Service Pack 2 |
| CVE-2021-34527 | Ejecución remota de código | Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) |
| CVE-2021-34527 | Ejecución remota de código | Windows Server 2008 for 32-bit Systems Service Pack 2 |
| CVE-2021-34527 | Ejecución remota de código | Windows RT 8.1 |
| CVE-2021-34527 | Ejecución remota de código | Windows 8.1 for x64-based systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 8.1 for 32-bit systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 7 for x64-based Systems Service Pack 1 |
| CVE-2021-34527 | Ejecución remota de código | Windows 7 for 32-bit Systems Service Pack 1 |
| CVE-2021-34527 | Ejecución remota de código | Windows Server 2016 (Server Core installation) |
| CVE-2021-34527 | Ejecución remota de código | Windows Server 2016 |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 1607 for x64-based Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 1607 for 32-bit Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 for x64-based Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 for 32-bit Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows Server, version 20H2 (Server Core Installation) |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 20H2 for ARM64-based Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 20H2 for 32-bit Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 20H2 for x64-based Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows Server, version 2004 (Server Core installation) |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 2004 for x64-based Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 2004 for ARM64-based Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 2004 for 32-bit Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 21H1 for 32-bit Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 21H1 for ARM64-based Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 21H1 for x64-based Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows Server, version 1909 (Server Core installation) |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 1909 for ARM64-based Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 1909 for x64-based Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 1909 for 32-bit Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows Server 2019 (Server Core installation) |
| CVE-2021-34527 | Ejecución remota de código | Windows Server 2019 |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 1809 for ARM64-based Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 1809 for x64-based Systems |
| CVE-2021-34527 | Ejecución remota de código | Windows 10 Version 1809 for 32-bit Systems |
Cabe destacar que, aún con los parches del 21 de Junio, el ‘exploit’ podría afectar a los controladores de dominio. Es este el escenario que a día de hoy más preocupación causa, ya que permitiría el escalado de privilegios en entornos ActiveDirectory.
Para determinar si el servicio de cola de impresión se está ejecutando, ejecute lo siguiente:
Get-Service -Name Spooler
Dado que no se ha publicado un parche oficial, se recomienda aplicar las siguientes contramedidas:
Opción 1: Deshabilitar el servicio de cola de impresión
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType DisabledImpacto: Deshabilitar el servicio de cola de impresión, desactiva la capacidad de imprimir tanto de forma local como remota.
Opción 2: Deshabilitar la impresión remota entrante a través de la directiva de grupo
1. Ir a "Configuración del equipo / Plantillas administrativas / Impresoras"
2. Desactivar la política "Permitir que la cola de impresión acepte conexiones de cliente" para bloquear ataques remotos.
Impacto: Esta política bloqueará el vector de ataque remoto al evitar las operaciones de impresión remota entrantes. El sistema ya no funcionará como servidor de impresión, pero la impresión local en un dispositivo conectado directamente seguirá siendo posible.
Opción 3: Restringir el acceso a directorio donde se dropean las DLLs, mediante la ejecución del siguiente script powershell
El exploit funciona colocando una DLL en un subdirectorio en C:\Windows\System32\spool\drivers. Al restringir las ACL en este directorio (y subdirectorios) podemos evitar que el servicio de cola de impresión introduzca DLL maliciosas.
$Path = "C:\Windows\System32\spool\drivers"
$Acl = (Get-Item $Path).GetAccessControl('Access')
$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny")
$Acl.AddAccessRule($Ar)
Set-Acl $Path $Acl
Si los administradores necesitan realizar cambios de configuración que requieren que el servicio escriba en estos directorios, esta regla se puede eliminar temporalmente y volver a agregar después del cambio. Mas información aquí.
Impacto: Sólo mantendrá el servidor de impresión en funcionamiento en los casos en que sea estrictamente necesario.
Se recomienda realizar las comprobaciones oportunas para identificar aquellos equipos vulnerables, aplicar las contramedidas descritas y prestar especial atención a las actualizaciones sobre esta vulnerabilidad y parchear lo antes posible.
Referencias:
Vulnerabilidad grave en PLCs de Siemens podría ser explotada de manera remota y sin necesidad de autenticación.
Investigadores de la firma de ciberseguridad industrial Claroty han descubierto una vulnerabilidad grave en los controladores lógicos programables (PLCs) de Siemens, registrada bajo el ID CVE-2020-15782 se genera por una omisión de protección del sistema de memoria a través de una operación específica (y no revelada). Esto permitiría que un atacante con acceso de red a través del puerto TCP/102 pudiese acceder a áreas de memoria protegidas, escribir datos y código en áreas de la misma o leer datos confidenciales para lanzar otros ataques, como por ejemplo la ejecución de código arbitrario.
Los investigadores demostraron cómo un atacante podía eludir las protecciones y escribir shellcode directamente en la memoria protegida. Un ataque que aproveche esta vulnerabilidad sería difícil de detectar, afirman los investigadores.
La publicación del blog de Claroty describe el entorno limitado de PLC y el papel que podría desempeñar CVE-2020-15782 en un ataque.
La nueva vulnerabilidad afecta los controladores PLC de las familias SIMATIC S7-1200 y S7-1500 fabricados por Siemens.
Siemens recomienda realizar las actualizaciones de firmware que ha lanzado para algunos de los dispositivos afectados y ejecutar las soluciones para productos para los que aún no se han lanzado parches, detalladas en su página oficial.
Referencias:
Vulnerabilidad XSS en el complemento ‘ReDi Restaurant Booking’ de WordPress
Se ha reportado una vulnerabilidad XSS en el plugin de WordPress «ReDi Restaurant Reservation», el cual permite a los negocios de restaurantes gestionar las reservas de sus clientes.
El investigador en ciberseguridad, Bastijn Ouwendijk, alertó el día 15 de abril a los creadores del plugin, de una vulnerabilidad de tipo Cross-Site Scripting (XSS) la cual afectaba a versiones anteriores a la 21.0307.
Registrada bajo el ID CVE-2021-24299, esta vulnerabilidad es fácil de explotar y permitiría a los atacantes no autenticados, acceder a los datos de reserva, información de clientes, e incluso, filtrar la clave API privada del plugin, almacenados en el sitio web de los propietarios de los restaurantes, simplemente enviando un fragmento de código malicioso JavaScript en el campo de comentarios de reserva.
La explotación exitosa requiere la interacción del usuario por parte de la víctima y la vulnerabilidad es catalogada de riesgo medio con una puntuación CVSSv3 de 6.3.
Se recomienda a los administradores de los sitios web, actualizar «ReDi Restaurant Reservation» a la versión 21.0426 o superior.
Referencias:
Vulnerabilidad crítica XSS en Drupal
Drupal ha liberado actualizaciones de seguridad para remediar vulnerabilidad crítica identificada como CVE-2020-13672, la API de desinfección del núcleo de Drupal no filtra correctamente las secuencias de comandos entre sitios en determinadas circunstancias.
No todos los sitios y usuarios se ven afectados, pero los cambios de configuración para evitar el exploit pueden no ser prácticos y variarán entre los sitios. Por lo tanto, es recomendable que todos los sitios sean actualizados a la última versión parchada lo antes posible.
Las versiones de afectadas son 7, 8 y 9 de Drupal y se recomienda realizar las siguientes actualizaciones para proteger los sitios web de posibles ataques:
- Drupal 7.x, actualizar a Drupal 7.80
- Drupal 8.9.x, actualizar a Drupal 8.9.14
- Drupal 9.0.x, actualizar a Drupal 9.0.12
- Drupal 9.1.x, actualizar a Drupal 9.1.7
Las versiones de Drupal 8 anteriores a la 8.9.x están al final de su vida útil y no reciben cobertura de seguridad.
Referencias:
Actualizaciones de Seguridad en Microsoft Exchange Server
Microsoft ha lanzado actualizaciones de seguridad para múltiples vulnerabilidades con severidad crítica de día cero que han sido detectadas en ataques limitados y dirigidos que explotan versiones on-premise de Microsoft Exchange Server.
Según el Blog de Microsoft, las vulnerabilidades explotadas tienen como identificador CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, estas vulnerabilidades se utilizan como parte de una cadena de ataque. Los ataques incluyen tres pasos. Primero, se obtiene acceso a un servidor Exchange ya sea con contraseñas robadas o utilizando vulnerabilidades para disfrazarse como alguien que debería tener acceso. En segundo lugar, crearía lo que se llama un shell web para controlar el servidor comprometido de forma remota. En tercer lugar, utilizaría ese acceso remoto, para robar datos de la red de una organización.
Las vulnerabilidades afectan a Microsoft Exchange Server (on-premise), pero no a Exchange Online. Las versiones vulnerables son las siguientes:
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Microsoft Exchange Server 2010 no es vulnerable para este tipo de ataque, pero se ha lanzado una actualización con fines de defensa en profundidad.
Como mitigación para las vulnerabilidades, se puede proteger restringiendo las conexiones no confiables o configurando una VPN para separar el servidor Exchange del acceso externo. El uso de esta mitigación solo protegerá contra la parte inicial del ataque.
Se recomienda que los clientes apliquen las actualizaciones a los sistemas afectados de manera inmediata para protegerse contra estas vulnerabilidades y prevenir futuros abusos. Se debe priorizar la instalación de actualizaciones en los servidores Exchange que se enfrentan al exterior.
Más información:
- https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/
- https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
Vulnerabilidades críticas en VMWare ESXi usadas en ataques ransomware
Las vulnerabilidades críticas con identificador CVE-2019-5544 y CVE-2020-3992 en VMware ESXi, son usadas en ataques ransomware, con el fin de cifrar discos duros de las máquinas virtuales.
El CVE-2019-5544 aborda una vulnerabilidad crítica de ejecución remota de código en OpenSLP, Protocolo de ubicación del servicio (SLP), que permite que el software ubique recursos en una red OpenSLP. Este protocolo usado en ESXi y los dispositivos Horizon DaaS, tiene un problema de sobrescritura que podría permitir que un atacante malintencionado con acceso de red al puerto 427 en un host ESXi o en cualquier dispositivo de administración de Horizon DaaS pueda sobrescribir el servicio OpenSLP, lo que da como resultado la ejecución remota de código.
En el caso de la vulnerabilidad bajo el identificador CVE-2020-3992, también es afectada OpenSLP, pero en este caso un atacante con acceso a la red de administración y con acceso al puerto 427 en una máquina ESXi puede activar un uso después de la liberación en el servicio OpenSLP, lo que resulta en la ejecución remota de código.
Según ZDNet, el ataque aprovecha de las vulnerabilidades en la que las máquinas virtuales se cierran abruptamente y luego se cifraron todos los archivos en el almacén de datos (vmdk, vmx, registros). Estos ataques han sido atribuidos a la banda RansomExx Ransomware (también conocida como Defray777). En estos casos los atacantes dejaron notas de rescate en el nivel del almacén de datos.
Se recomienda a los administradores de sistemas de las empresas que apliquen los parches ESXi publicados en sus boletines de seguridad, o deshabiliten el soporte SLP para evitar ataques si el protocolo no es necesario.
Más información:
- https://securityaffairs.co/wordpress/114124/malware/ransomware-attack-vmware-esxi.html
- https://www.zdnet.com/article/ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks/
- https://www.vmware.com/security/advisories/VMSA-2019-0022.html
- https://www.vmware.com/security/advisories/VMSA-2020-0023.html
- https://www.vmware.com/security/advisories.html
Múltiples vulnerabilidades afectan el plugin ‘Popup Builder’ de WordPress
El complemento ‘Popup Builder’ ayuda a los propietarios de los sitios de WordPress a crear, personalizar y administrar los accesos rápidos, las vulnerabilidades asociadas a ‘Popup Builder’ podrían aprovecharse para enviar boletines informativos con cualquier contenido, para la inclusión de archivos locales (pero limitado a la primera línea), para importar o eliminar suscriptores y también para realizar otras acciones malintencionadas en sitios web afectados.
Descubierto por investigadores de la empresa de seguridad de sitios web WebARX, los problemas recientemente abordados son causados por la falta de autorización en la mayoría de los métodos AJAX que no comprueban la capacidad del usuario.
El complemento realiza la comprobación de un token nonce y cualquier usuario, independientemente de la capacidad, que pueda pasar la comprobación, puede ejecutar los métodos vulnerables de AJAX, ya que el token nonce se envía a todos los usuarios.
Se han detallado algunos de los métodos vulnerables, pero los investigadores de WebARX se han abstenido de publicar información sobre todos ellos, dado que un gran número de métodos se ven afectados. Sin embargo, detallan que uno de los métodos vulnerables, podría ser abusado por un usuario autenticado para enviar boletines con «contenido personalizado de cuerpo de correo electrónico, remitente de correo electrónico y varios otros atributos que esencialmente permitirán a un usuario malintencionado enviar correos electrónicos a todos los suscriptores». Para aprovechar la vulnerabilidad, un usuario tendría que iniciar sesión y tener acceso al token nonce, dicen los investigadores.
Las vulnerabilidades fueron comunicadas al desarrollador del plugin ‘Popup Builder’ a principios de diciembre de 2020. El 22 de enero de 2021 se puso a disposición la versión 3.72 que comprueba la autorización de los métodos AJAX.
Se recomienda a los administradores de páginas web, actualizar el plugin ‘Popup Builder’ a la versión 3.72 o posterior, disponible en la página oficial de WordPress.
Referencias: