Fuente base de datos: Wordfence Intelligence

Metform Elementor Contact Form Builder <= 3.3.1 - Authenticated (Subscriber+) Information Disclosure via 'mf_payment_status' shortcode

PLUGIN MEDIUM CVE-2023-0692

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de divulgación de información en el plugin Metform Elementor Contact Form Builder, que afecta a las versiones hasta la 3.3.1. Este fallo permite a usuarios autenticados con rol de suscriptor o superior acceder a información sensible a través del shortcode 'mf_payment_status'.

Contexto técnico

La vulnerabilidad se origina en el manejo inadecuado de datos al utilizar el shortcode 'mf_payment_status', lo que permite a usuarios no autorizados obtener información que debería estar restringida. La exposición de esta información puede comprometer la seguridad de la instalación de WordPress.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la divulgación de información sensible que podría ser utilizada para realizar ataques adicionales o comprometer la privacidad de los usuarios. Esto puede afectar la confianza de los clientes y la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la utilización del shortcode 'mf_payment_status' en una página accesible, lo que permite a los atacantes con credenciales de suscriptor o superiores acceder a información que no deberían poder ver.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Metform Elementor Contact Form Builder a la versión 3.3.2 o superior. Además, es aconsejable revisar los permisos de los roles de usuario y limitar el acceso a información sensible.

Señales de detección

Las señales de posible explotación incluyen accesos inusuales a páginas que utilizan el shortcode 'mf_payment_status' por parte de usuarios con rol de suscriptor o inferior, así como registros de errores que indiquen intentos de acceso a información restringida.

Alcance afectado

Las versiones afectadas de este plugin son todas las anteriores a la 3.3.2. Es importante verificar las instalaciones que utilizan Metform para asegurar que están actualizadas.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

metform

Metform Elementor Contact Form Builder <= 3.3.1 - Authenticated (Subscriber+) Information Disclosure via 'mf_first_name' shortcode

MEDIUM PLUGIN

metform

Metform Elementor Contact Form Builder <= 3.3.1 - Authenticated (Subscriber+) Information Disclosure via 'mf_transaction_id' shortcode

MEDIUM PLUGIN

metform

Metform Elementor Contact Form Builder <= 3.3.1 - Authenticated (Subscriber+) Information Disclosure via mf shortcode

MEDIUM PLUGIN

metform

Metform Elementor Contact Form Builder <= 3.3.1 - Authenticated (Subscriber+) Information Disclosure via mf_last_name shortcode

MEDIUM PLUGIN

metform

Metform Elementor Contact Form Builder <= 3.3.1 - Authenticated (Subscriber+) Information Disclosure via mf_thankyou shortcode

HIGH PLUGIN

metform

Metform Elementor Contact Form Builder <= 2.1.3 - Sensitive Information Disclosure

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto