Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress By KaineLabs <= 1.3.2 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Review Deletion

PLUGIN MEDIUM CVE-2024-12113

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Youzify para WordPress, que permite la eliminación arbitraria de reseñas por parte de usuarios autenticados con rol de suscriptor o superior. Esta vulnerabilidad, clasificada como de severidad media, puede comprometer la integridad del contenido generado por los usuarios.

Contexto técnico

La vulnerabilidad radica en la falta de autorización adecuada en el plugin Youzify, lo que permite a los usuarios con permisos insuficientes eliminar reseñas de otros usuarios. Esto se debe a una gestión inadecuada de los permisos en las funciones relacionadas con la eliminación de reseñas.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a los usuarios malintencionados borrar contenido valioso, afectando la reputación de la comunidad y la confianza de los usuarios en la plataforma. Esto puede llevar a una pérdida de usuarios y, en consecuencia, afectar los ingresos si el sitio depende de la interacción de la comunidad.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la manipulación de solicitudes HTTP que permiten a un usuario autenticado eliminar reseñas sin la autorización adecuada. Esto puede llevarse a cabo mediante scripts o herramientas que envían peticiones maliciosas al servidor.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Youzify a la versión 1.3.3 o superior, donde se ha corregido el fallo. Además, es aconsejable revisar los permisos de usuario y limitar el acceso a funciones críticas del plugin a roles más altos que el de suscriptor.

Señales de detección

Señales de riesgo pueden incluir un aumento inusual en la eliminación de reseñas o la actividad sospechosa de usuarios autenticados. Monitorear los registros de actividad del plugin puede ayudar a identificar intentos de explotación.

Alcance afectado

Las versiones afectadas del plugin Youzify son todas las anteriores a la 1.3.3. Es vital que los administradores de WordPress verifiquen sus instalaciones para asegurarse de que están utilizando una versión segura.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

youzify

Youzify <= 1.3.5 - Authenticated (Subscriber+) Server-Side Request Forgery

Ver ficha
MEDIUM PLUGIN

youzify

Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress <= 1.3.4 - Missing Authorization to Authenticated (Subscriber+) Limited Options Update

Ver ficha
MEDIUM PLUGIN

youzify

Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress <= 1.3.3 - Missing Authorization to Authenticated (Subscriber+) Limited Options Update (save_addon_key_license)

Ver ficha
MEDIUM PLUGIN

youzify

Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress <= 1.3.0 - Missing Authorization to Arbitrary (Subscriber+) Attachment Deletion

Ver ficha
MEDIUM PLUGIN

youzify

Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress <= 1.3.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via youzify_media Shortcode

Ver ficha
MEDIUM PLUGIN

youzify

Youzify <= 1.2.6 - Missing Authorization

Ver ficha
CRITICAL PLUGIN

youzify

Youzify <= 1.2.5 - Authenticated (Contributor+) SQL Injection

Ver ficha
MEDIUM PLUGIN

youzify

Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress <= 1.2.5 - Authenticated (Contributor+) SQL Injection

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad