Resumen ejecutivo
Se ha identificado una vulnerabilidad de divulgación de información en el plugin Responsive Lightbox en versiones hasta 2.4.6. Esta vulnerabilidad permite la falta de autorización, lo que podría comprometer la seguridad del sitio.
Fuente base de datos: Wordfence Intelligence
Responsive Lightbox <= 2.4.6 - Missing Authorization via Information Disclosure (falta de autorizacion) - version 2.4.7
PLUGIN
MEDIUM
CVE-2024-31252
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
La vulnerabilidad se encuentra en el plugin Responsive Lightbox, donde se produce una falta de control de acceso en ciertas funcionalidades. Esto permite que información sensible sea expuesta a usuarios no autorizados, aumentando la superficie de ataque del sitio web.
Impacto potencial
El impacto potencial incluye la exposición de datos sensibles que podrían ser utilizados para ataques adicionales, afectando la confianza de los usuarios y la reputación del negocio. Además, podría llevar a un incumplimiento de normativas de seguridad de datos.
Vector de explotación
Los atacantes pueden explotar esta vulnerabilidad accediendo a rutas específicas del plugin que no requieren autenticación, lo que les permite obtener información sensible sin necesidad de credenciales.
Mitigación recomendada
Actualizar el plugin Responsive Lightbox a la versión 2.4.7 o superior para mitigar la vulnerabilidad. Además, se recomienda revisar los permisos de acceso y realizar auditorías de seguridad periódicas.
Señales de detección
Señales de posible explotación incluyen accesos no autorizados a información sensible y registros de errores que indiquen intentos de acceso a rutas restringidas del plugin.
Alcance afectado
Las versiones del plugin Responsive Lightbox hasta la 2.4.6 son las afectadas. La versión 2.4.7 ha corregido esta vulnerabilidad.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
katalogportal-pdf-sync
Katalogportal-pdf-sync Widget <= 1.0.0 - Missing Authorization to Authenticated (Subscriber+) Information Disclosure via 'katalogportal_shortcodePrinter' AJAX Action
MEDIUM
PLUGIN
mainwp-child-reports
MainWP Child Reports <= 2.2.6 - Missing Authorization to Authenticated (Subscriber+) Information Disclosure via Heartbeat API
MEDIUM
PLUGIN
ninja-forms
Ninja Forms <= 3.14.1 - Authenticated (Contributor+) Sensitive Information Disclosure via Block Editor Token
MEDIUM
WORDPRESS
wp-core
WordPress <= 6.9.1 - Missing Authorization to Authenticated (Author+) Sensitive Information Disclosure via query-attachments AJAX Endpoint
HIGH
PLUGIN
responsive-lightbox
Responsive Lightbox & Gallery < 2.6.1 - Unauthenticated Stored Cross-Site Scripting
MEDIUM
PLUGIN
responsive-lightbox
Responsive Lightbox & Gallery <= 2.7.1 - Authenticated (Author+) Server-Side Request Forgery via Remote Library Image Upload
MEDIUM
PLUGIN
classified-listing
Classified Listing – AI-Powered Classified ads & Business Directory Plugin <= 5.3.4 - Authenticated (Subscriber+) Sensitive Data Exposure
MEDIUM
PLUGIN
easy-form-builder
Easy Form Builder <= 3.9.3 - Missing Authorization to Authenticated (Subscriber+) Sensitive Form Response Data Exposure
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto