Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

JupiterX Theme <= 2.0.6 and JupiterX Core <= 2.0.6 - Authenticated Arbitrary Plugin Deactivation and Settings Modification

PLUGIN MEDIUM CVE-2022-1656

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en las versiones del tema JupiterX y su plugin JupiterX Core, que permite la desactivación arbitraria de plugins y la modificación de configuraciones. Esta vulnerabilidad tiene una severidad media, con un CVSS de 6.5.

Contexto técnico

La vulnerabilidad se encuentra en las versiones 2.0.6 y anteriores del tema JupiterX y su plugin asociado. Permite a un usuario autenticado realizar acciones no autorizadas, como desactivar otros plugins y modificar configuraciones críticas del sitio.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad del sitio, permitiendo a un atacante desactivar funcionalidades esenciales y alterar la configuración del entorno, lo que puede llevar a una pérdida de confianza de los usuarios y daños en la reputación del negocio.

Vector de explotación

Generalmente, la explotación se realiza mediante un usuario autenticado que aprovecha la falta de validación adecuada en las funciones de desactivación y modificación de configuraciones del plugin.

Mitigación recomendada

Actualizar el tema JupiterX y el plugin JupiterX Core a la versión 2.0.7 o superior. Además, se recomienda revisar los permisos de usuario y aplicar prácticas de hardening en la instalación de WordPress.

Señales de detección

Señales de riesgo incluyen cambios inesperados en la configuración de plugins y reportes de desactivación de plugins críticos por parte de usuarios autenticados.

Alcance afectado

Las versiones afectadas son el tema JupiterX y el plugin JupiterX Core hasta la versión 2.0.6, lanzados antes del 18 de mayo de 2022.

Vulnerabilidades relacionadas

HIGH PLUGIN

jupiterx-core

JupiterX Core <= 4.14.1 - Authenticated (Subscriber+) Missing Authorization To Limited File Upload via Popup Template Import

Ver ficha
HIGH PLUGIN

jupiterx-core

JupiterX Core <= 4.10.1 - Authenticated (Contributor+) PHP Object Injection

Ver ficha
MEDIUM PLUGIN

jupiterx-core

JupiterX Core <= 4.11.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

jupiterx-core

Jupiterx Core <= 4.8.12 - Authenticated (Contributor+) Stored Cross-Site Scripting via Inline SVG

Ver ficha
MEDIUM PLUGIN

jupiterx-core

JupiterX Core <= 4.8.11 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
HIGH PLUGIN

jupiterx-core

Jupiter X Core <= 4.8.11 - Unauthenticated PHP Object Injection via PHAR

Ver ficha
HIGH PLUGIN

jupiterx-core

Jupiter X Core <= 4.8.7 - Authenticated (Contributor+) SVG Upload to Local File Inclusion (Remote Code Execution)

Ver ficha
MEDIUM PLUGIN

jupiterx-core

Jupiterx Core <= 4.8.7 - Authenticated (Contributor+) Arbitrary File Read

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad