Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

WPForms 1.8.4 - 1.9.2.1 - Missing Authorization to Authenticated (Subscriber+) Payment Refund and Subscription Cancellation

PLUGIN HIGH CVE-2024-11205

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en las versiones de WPForms desde la 1.8.4 hasta la 1.9.2.1, que permite a usuarios autenticados con rol de suscriptor o superior realizar reembolsos de pagos y cancelar suscripciones sin la autorización adecuada. Esta vulnerabilidad tiene un CVSS de 8.5, lo que indica un alto nivel de severidad.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización en las funciones que gestionan los reembolsos de pagos y la cancelación de suscripciones. Esto permite que cualquier usuario autenticado con un rol de suscriptor o superior pueda ejecutar acciones que deberían estar restringidas a administradores.

Impacto potencial

Si se explota esta vulnerabilidad, puede resultar en pérdidas financieras significativas para las empresas que utilizan WPForms, así como en la pérdida de confianza de los clientes debido a la gestión inadecuada de suscripciones y reembolsos. Además, podría dar lugar a un uso indebido de los servicios ofrecidos.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad simplemente autenticándose como usuarios suscriptores y accediendo a las funciones de reembolso y cancelación, sin necesidad de credenciales de administrador.

Mitigación recomendada

Se recomienda actualizar WPForms a la versión 1.9.2.2 o superior para mitigar esta vulnerabilidad. Además, es aconsejable revisar las configuraciones de permisos de usuario y aplicar prácticas de hardening en la gestión de roles y capacidades dentro de la plataforma.

Señales de detección

Señales de posible explotación incluyen registros de actividad inusual en la gestión de reembolsos y cancelaciones de suscripciones, especialmente desde cuentas de usuario que no deberían tener acceso a estas funciones.

Alcance afectado

Las versiones afectadas son WPForms desde la 1.8.4 hasta la 1.9.2.1. Todas las instalaciones que utilicen estas versiones son vulnerables.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wpforms-lite

WPForms Lite <= 1.9.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'start_timestamp' Parameter

Ver ficha
MEDIUM PLUGIN

wpforms-lite

WPForms Lite <= 1.9.3.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via fieldHTML Parameter

Ver ficha
MEDIUM PLUGIN

wpforms-lite

Contact Form by WPForms <= 1.9.2.2 - Missing Authorization

Ver ficha
MEDIUM PLUGIN

wpforms-lite

WPForms <= 1.9.2.2 - Authenticated (Admin+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

wpforms-lite

WPForms – Easy Form Builder for WordPress <= 1.9.1.6 - Cross-Site Request Forgery (CSRF) to Plugin's Log Deletion

Ver ficha
MEDIUM PLUGIN

wpforms-lite

WPForms <= 1.9.1.5 - Authenticated (Administrator+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

wpforms-lite

Contact Form by WPForms – Drag & Drop Form Builder for WordPress <= 1.8.7.2 - Unauthenticated Price Manipulation

Ver ficha
MEDIUM PLUGIN

wpforms-lite

Contact Form by WPForms (Free and Premium) <= 1.8.1.2 - Reflected Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad