Evaluación rápida de riesgos WordPress
Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.
Solicitar análisis gratuitoFuente base de datos: Wordfence Intelligence
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Se ha identificado una vulnerabilidad crítica de inclusión de archivos locales no autenticada en el plugin Funnel Builder de FunnelKit, afectando a la versión 3.9.0 y anteriores. Esta vulnerabilidad podría permitir a un atacante acceder a archivos sensibles del servidor.
La vulnerabilidad se clasifica como Local File Inclusion (LFI), lo que permite a un atacante incluir archivos del sistema local en el contexto de la aplicación web. Esto sucede debido a una falta de validación adecuada de las entradas proporcionadas por el usuario, lo que abre una superficie de ataque significativa.
El impacto potencial de esta vulnerabilidad es elevado, ya que podría permitir a un atacante acceder a información confidencial del servidor, comprometiendo la integridad y la confidencialidad de los datos. Esto podría resultar en pérdidas económicas y daños a la reputación de la organización afectada.
Los atacantes suelen explotar esta vulnerabilidad manipulando las entradas en las solicitudes HTTP para incluir archivos del sistema, lo que les permite acceder a datos sensibles sin necesidad de autenticación.
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Funnel Builder a la versión 3.9.1 o superior. Además, se deben implementar medidas de seguridad adicionales, como la validación de entradas y la restricción de acceso a archivos sensibles en el servidor.
Señales que podrían indicar un intento de explotación incluyen registros de acceso inusuales que intentan acceder a archivos del sistema o patrones de tráfico sospechosos que manipulan parámetros en las solicitudes.
Las versiones afectadas son todas las anteriores a la 3.9.1 del plugin Funnel Builder por FunnelKit, publicado antes del 23 de febrero de 2025.
funnel-builder
¿Tu WordPress podría estar expuesto?
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un expertoGestiona el consentimiento por categoría según tus preferencias.
Imprescindibles para la navegación, seguridad y funcionamiento básico.
Nos ayuda a medir uso y rendimiento para mejorar contenidos y UX. Incluye un identificador anónimo de visitante para analizar navegación, formularios, chat y análisis WP.
Permite personalizar campañas y medir conversiones en canales externos.
Puedes cambiar o retirar el consentimiento en cualquier momento desde «Preferencias de cookies». Más información en la Política de cookies.