Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

SurveyJS: Drag & Drop WordPress Form Builder to create, style and embed multiple forms of any complexity <= 1.12.17 - Missing Authorization to Authenticated (Subscriber+) Arbitrary File Deletion via SurveyJS_DeleteFile

PLUGIN HIGH CVE-2024-12544

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin SurveyJS para WordPress, que permite la eliminación arbitraria de archivos por usuarios autenticados con rol de suscriptor o superior. Esta falla afecta a las versiones anteriores a la 1.12.18 y tiene un CVSS de 8.8, lo que indica un alto nivel de riesgo.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada en la función SurveyJS_DeleteFile, lo que permite a los usuarios autenticados eliminar archivos sin las restricciones necesarias. Esto expone el sistema a un ataque donde un usuario malintencionado podría eliminar archivos críticos del servidor.

Impacto potencial

El impacto potencial de esta vulnerabilidad es significativo, ya que podría resultar en la pérdida de datos importantes y afectar la integridad del sitio web. Además, podría ser explotada para interrumpir servicios o para llevar a cabo ataques más avanzados, comprometiendo la seguridad general del negocio.

Vector de explotación

La explotación de esta vulnerabilidad generalmente implica que un atacante autenticado envíe una solicitud maliciosa para eliminar archivos del servidor, aprovechando la falta de controles de acceso en la función afectada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin SurveyJS a la versión 1.12.18 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar prácticas de hardening en la configuración de WordPress, limitando el acceso a funciones críticas.

Señales de detección

Señales de que esta vulnerabilidad podría estar siendo explotada incluyen la presencia de archivos eliminados inesperadamente o registros de actividad de usuarios que intentan acceder a funciones de eliminación de archivos sin tener el rol adecuado.

Alcance afectado

Las versiones del plugin SurveyJS anteriores a la 1.12.18 están afectadas, lo que incluye todas las instalaciones que no han sido actualizadas desde la publicación de la vulnerabilidad el 28 de febrero de 2025.

Vulnerabilidades relacionadas

HIGH PLUGIN

surveyjs

SurveyJS: Drag & Drop Form Builder <= 2.5.3 - Unauthenticated Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

surveyjs

SurveyJS: Drag & Drop WordPress Form Builder to create, style and embed multiple forms of any complexity <= 2.5.2 - Cross-Site Request Forgery to Survey Cloning

Ver ficha
MEDIUM PLUGIN

surveyjs

SurveyJS: Drag & Drop WordPress Form Builder to create, style and embed multiple forms of any complexity <= 2.5.2 - Cross-Site Request Forgery to Survey Renaming

Ver ficha
MEDIUM PLUGIN

surveyjs

SurveyJS: Drag & Drop WordPress Form Builder <= 2.5.2 - Cross-Site Request Forgery to Survey Creation

Ver ficha
MEDIUM PLUGIN

surveyjs

SurveyJS: Drag & Drop WordPress Form Builder <= 1.12.20 - Cross-Site Request Forgery to Survey Deletion

Ver ficha
MEDIUM PLUGIN

surveyjs

SurveyJS <= 1.12.32 - Authenticated (Contributor+) Stored Cross-Site Scripting via id Parameter

Ver ficha
MEDIUM PLUGIN

surveyjs

SurveyJS <= 1.12.20 - Missing Authorization

Ver ficha
MEDIUM PLUGIN

surveyjs

SurveyJS <= 1.12.20 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad