Resumen ejecutivo
Se ha identificado una vulnerabilidad de divulgación de ruta completa en el plugin ProfileGrid, afectando a versiones hasta la 5.9.5.2. Este fallo puede ser explotado por usuarios autenticados con rol de suscriptor o superior.
Fuente base de datos: Wordfence Intelligence
ProfileGrid <= 5.9.5.2 - Authenticated (Subscriber+) Full Path Disclosure
PLUGIN
MEDIUM
CVE-2025-52719
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad permite a los atacantes autenticados acceder a rutas del sistema de archivos del servidor, exponiendo información sensible. Esto se debe a un manejo inadecuado de las solicitudes en el plugin, lo que permite la divulgación de información sobre la estructura del servidor.
Impacto potencial
El impacto potencial incluye la exposición de información confidencial que podría ser utilizada para realizar ataques más avanzados. Esto podría comprometer la seguridad del sitio y afectar la confianza de los usuarios, así como la reputación de la organización.
Vector de explotación
Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes específicas a la aplicación web una vez que han iniciado sesión como suscriptores o usuarios con privilegios superiores, lo que les permite obtener rutas completas del sistema.
Mitigación recomendada
Actualizar el plugin ProfileGrid a la versión 5.9.5.3 o superior. Además, se recomienda revisar los permisos de usuario y aplicar medidas de seguridad adicionales para proteger el acceso a la información sensible.
Señales de detección
Señales de posible explotación incluyen registros de acceso inusuales que intentan acceder a rutas del sistema, así como notificaciones de errores que revelen información sobre la estructura del servidor.
Alcance afectado
Las versiones afectadas son todas las anteriores a la 5.9.5.3 del plugin ProfileGrid.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
profilegrid-user-profiles-groups-and-communities
ProfileGrid – User Profiles, Groups and Communities <= 5.9.8.1 - Authenticated (Subscriber+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
profilegrid-user-profiles-groups-and-communities
ProfileGrid <= 5.9.8.2 - Cross-Site Request Forgery to Group Membership Request Approval/Denial
MEDIUM
PLUGIN
profilegrid-user-profiles-groups-and-communities
ProfileGrid <= 5.9.8.1 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Message Deletion
MEDIUM
PLUGIN
profilegrid-user-profiles-groups-and-communities
ProfileGrid <= 5.9.7.2 - Insecure Direct Object Reference to Authenticated (Subscriber+) Arbitrary User Profile and Cover Image Modification
MEDIUM
PLUGIN
profilegrid-user-profiles-groups-and-communities
ProfileGrid – User Profiles, Groups and Communities <= 5.9.7.2 - Missing Authorization to Authenticated (Subscriber+) Arbitrary User Suspension
MEDIUM
PLUGIN
profilegrid-user-profiles-groups-and-communities
ProfileGrid – User Profiles, Groups and Communities <= 5.9.5.7 - Reflected Cross-Site Scripting
MEDIUM
PLUGIN
profilegrid-user-profiles-groups-and-communities
ProfileGrid <= 5.9.5.3 - Authenticated (Subscriber+) SQL Injection
MEDIUM
PLUGIN
profilegrid-user-profiles-groups-and-communities
ProfileGrid – User Profiles, Groups and Communities <= 5.9.5.4 - Reflected Cross-Site Scripting via 'pm_get_messenger_notification' function
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto