Fuente base de datos: Wordfence Intelligence

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.19 - Missing Authorization to Unauthenticated Table Rates Deletion

PLUGIN MEDIUM CVE-2025-2789

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin MultiVendorX para WooCommerce, que permite la eliminación no autorizada de tarifas de tabla por usuarios no autenticados. Esta vulnerabilidad afecta a las versiones hasta la 4.2.19 y se ha calificado con una severidad media.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados, lo que permite a cualquier usuario no autenticado realizar solicitudes que resulten en la eliminación de tarifas de tabla. Esto representa un riesgo significativo, ya que podría afectar la configuración de precios y tarifas en el marketplace.

Impacto potencial

La explotación de esta vulnerabilidad podría llevar a la pérdida de datos críticos relacionados con la gestión de tarifas, lo que afectaría la operativa del negocio y podría resultar en pérdidas económicas y de confianza por parte de los usuarios.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a la API del plugin, sin necesidad de estar autenticados, lo que les permite eliminar tarifas de tabla de manera arbitraria.

Mitigación recomendada

Se recomienda actualizar el plugin MultiVendorX a la versión 4.2.20 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los permisos de usuario y aplicar controles adicionales de autorización en las funciones críticas del plugin.

Señales de detección

Señales de posible explotación incluyen registros de eliminación de tarifas de tabla por usuarios no autenticados y un aumento inusual en las solicitudes a la API del plugin.

Alcance afectado

Las versiones del plugin MultiVendorX hasta la 4.2.19 están afectadas. La vulnerabilidad fue corregida en la versión 4.2.20, publicada el 4 de abril de 2025.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – WooCommerce Multivendor Marketplace Solutions <= 4.2.22 - Incorrect Authorization to Authenticated (Contributor+) Arbitrary Post Deletion

CRITICAL PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.14 - Unauthenticated Limited Local File Inclusion

MEDIUM PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.4 - Cross-Site Request Forgery to Vendor Updates

MEDIUM PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.4 - Missing Authorization to Forged Vendor Profile Deletion Email Sending

CRITICAL PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.0 - Missing Authorization to Limited Vendor Privilege Escalation/Account Takeover

HIGH PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.0 - Missing Authorization to Arbitrary Vendor Deletion

HIGH PLUGIN

dc-woocommerce-multi-vendor

Multivendor Marketplace Solution for WooCommerce – WC Marketplace <= 3.8.11.8 - Multiple Unprotected AJAX Actions

HIGH PLUGIN

dc-woocommerce-multi-vendor

Multivendor Marketplace Solution for WooCommerce – WC Marketplace <= 3.8.11.8 - Local File Inclusion

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto