Fuente base de datos: Wordfence Intelligence

WP SMS <= 6.0.4 - Information Disclosure via REST API

PLUGIN MEDIUM CVE-2023-27447

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de divulgación de información en el plugin WP SMS, que afecta a las versiones hasta la 6.0.4. Esta vulnerabilidad permite a los atacantes acceder a información sensible a través de la API REST del plugin.

Contexto técnico

La vulnerabilidad se encuentra en la API REST del plugin WP SMS, lo que permite a un atacante no autenticado realizar solicitudes que pueden revelar información confidencial. Esta superficie de ataque es crítica, ya que no requiere autenticación para ser explotada.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que la divulgación de información sensible puede comprometer la seguridad de los usuarios y la integridad de la instalación de WordPress, lo que podría llevar a un uso indebido de los datos expuestos.

Vector de explotación

Generalmente, los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a la API REST del plugin, lo que les permite obtener información que no debería ser accesible públicamente.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin WP SMS a la versión 6.0.4.1 o superior. Además, es aconsejable revisar la configuración de la API REST y aplicar medidas de seguridad adicionales, como limitar el acceso a la API.

Señales de detección

Señales de posible explotación incluyen un aumento inusual en las solicitudes a la API REST del plugin, especialmente desde direcciones IP no reconocidas, así como intentos de acceso a información sensible que normalmente no debería estar disponible.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 6.0.4 del plugin WP SMS. Las instalaciones que no han actualizado a la versión 6.0.4.1 están en riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

ninja-forms

Ninja Forms <= 3.14.1 - Authenticated (Contributor+) Sensitive Information Disclosure via Block Editor Token

MEDIUM WORDPRESS

wp-core

WordPress <= 6.9.1 - Missing Authorization to Authenticated (Author+) Sensitive Information Disclosure via query-attachments AJAX Endpoint

MEDIUM PLUGIN

classified-listing

Classified Listing – AI-Powered Classified ads & Business Directory Plugin <= 5.3.4 - Authenticated (Subscriber+) Sensitive Data Exposure

MEDIUM PLUGIN

easy-form-builder

Easy Form Builder <= 3.9.3 - Missing Authorization to Authenticated (Subscriber+) Sensitive Form Response Data Exposure

MEDIUM PLUGIN

smart-forms

Smart Forms <= 2.6.99 - Missing Authorization to Authenticated (Subscriber+) Campaign Data Exposure

MEDIUM PLUGIN

foogallery

Gallery by FooGallery <= 3.1.9 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Gallery Metadata Exposure

MEDIUM PLUGIN

wp-sms

WSMS (formerly WP SMS) – SMS & MMS Notifications with OTP and 2FA for WooCommerce <= 7.1 - Authenticated (Administrator+) Stored Cross-Site Scripting

MEDIUM PLUGIN

popup-builder-block

PopupKit <= 2.2.0 - Missing Authorization to Sensitive Information Disclosure and Data Deletion

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto