Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress <= 1.3.0 - Missing Authorization to Arbitrary (Subscriber+) Attachment Deletion

PLUGIN MEDIUM CVE-2024-9067

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Youzify para WordPress que permite la eliminación no autorizada de archivos adjuntos por usuarios con rol de suscriptor o superior. Esta falla afecta a las versiones hasta la 1.3.0 del plugin y ha sido corregida en la versión 1.3.1.

Contexto técnico

La vulnerabilidad radica en la falta de controles de autorización adecuados, lo que permite a los usuarios con privilegios insuficientes eliminar archivos adjuntos arbitrarios. Esto se debe a una mala gestión de los permisos en las funciones del plugin relacionadas con la eliminación de contenido.

Impacto potencial

El potencial impacto de esta vulnerabilidad es significativo, ya que podría permitir a usuarios malintencionados eliminar contenido crítico de la comunidad o de los perfiles de usuario, afectando la integridad de la plataforma y la experiencia del usuario. Esto podría traducirse en pérdidas de datos y reputación para el negocio.

Vector de explotación

La explotación de esta vulnerabilidad puede llevarse a cabo mediante solicitudes directas a las funciones del plugin que manejan la eliminación de archivos, sin la debida verificación de permisos, permitiendo así que un usuario no autorizado lleve a cabo la acción.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Youzify a la versión 1.3.1 o superior. Además, se sugiere revisar las configuraciones de permisos de los roles de usuario y aplicar políticas de seguridad más estrictas en la gestión de contenido.

Señales de detección

Se pueden detectar intentos de explotación observando registros de acceso inusuales que intenten acceder a funciones de eliminación de archivos por parte de usuarios con rol de suscriptor. También se deben monitorear cambios inesperados en el contenido o en los archivos adjuntos.

Alcance afectado

Las versiones del plugin Youzify anteriores a la 1.3.1 son las que se encuentran afectadas. Se recomienda a los administradores de sitios que utilicen este plugin que verifiquen su versión actual.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

youzify

Youzify <= 1.3.5 - Authenticated (Subscriber+) Server-Side Request Forgery

Ver ficha
MEDIUM PLUGIN

youzify

Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress By KaineLabs <= 1.3.2 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Review Deletion

Ver ficha
MEDIUM PLUGIN

youzify

Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress <= 1.3.4 - Missing Authorization to Authenticated (Subscriber+) Limited Options Update

Ver ficha
MEDIUM PLUGIN

youzify

Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress <= 1.3.3 - Missing Authorization to Authenticated (Subscriber+) Limited Options Update (save_addon_key_license)

Ver ficha
MEDIUM PLUGIN

youzify

Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress <= 1.3.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via youzify_media Shortcode

Ver ficha
MEDIUM PLUGIN

youzify

Youzify <= 1.2.6 - Missing Authorization

Ver ficha
CRITICAL PLUGIN

youzify

Youzify <= 1.2.5 - Authenticated (Contributor+) SQL Injection

Ver ficha
MEDIUM PLUGIN

youzify

Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress <= 1.2.5 - Authenticated (Contributor+) SQL Injection

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad