Fuente base de datos: Wordfence Intelligence

Realty Portal – Agent <= 0.3.9 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation via rp_user_profile() Function en Realty Portal Agent (escalada de privilegios)

PLUGIN HIGH CVE-2025-6190

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Realty Portal – Agent, que permite la escalada de privilegios a usuarios autenticados con rol de suscriptor o superior. Esta falla podría comprometer la seguridad del sitio al permitir a usuarios no autorizados acceder a funciones restringidas.

Contexto técnico

El fallo reside en la función rp_user_profile(), que no implementa correctamente los controles de autorización. Esto permite a usuarios con privilegios limitados ejecutar acciones que deberían estar restringidas a roles más altos, facilitando así la escalada de privilegios.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en un acceso no autorizado a datos sensibles y funcionalidades críticas del sitio, lo que podría llevar a la manipulación de contenido, robo de información o incluso la toma de control total del sitio web.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad mediante la autenticación como usuarios con rol de suscriptor o superior y posteriormente intentar acceder a la función rp_user_profile() para escalar sus privilegios.

Mitigación recomendada

Actualizar el plugin Realty Portal – Agent a la versión 0.3.9 o superior para mitigar la vulnerabilidad. Además, se recomienda revisar los roles y permisos de los usuarios para asegurar que se mantengan las configuraciones adecuadas de acceso.

Señales de detección

Monitorear registros de acceso y actividad de usuarios para detectar intentos inusuales de acceso a funciones administrativas por parte de usuarios con privilegios limitados.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin Realty Portal – Agent hasta la 0.3.9, publicada antes del 22 de julio de 2025.

Vulnerabilidades relacionadas

HIGH PLUGIN

acymailing

AcyMailing 9.11.0 - 10.8.1 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation

CRITICAL PLUGIN

riaxe-product-customizer

Riaxe Product Customizer <= 2.1.2 - Missing Authorization to Unauthenticated Arbitrary Options Update to Privilege Escalation via 'install-imprint' AJAX Action

CRITICAL PLUGIN

barcode-scanner-lite-pos-to-manage-products-inventory-and-orders

Barcode Scanner (+Mobile App) <= 1.11.0 - Unauthenticated Privilege Escalation via Insecure Token Authentication

HIGH PLUGIN

one-click-login-as-user

Login as User <= 1.0.3 - Authenticated (Subscriber+) Privilege Escalation via 'oclaup_original_admin' Cookie

HIGH PLUGIN

bp-groupblog

BuddyPress Groupblog <= 1.9.3 - Authenticated (Subscriber+) Privilege Escalation to Administrator via Group Blog IDOR

CRITICAL PLUGIN

wp-base-booking-of-appointments-services-and-events

WP BASE Booking of Appointments, Services and Events <= 5.9.0 - Unauthenticated Privilege Escalation

HIGH PLUGIN

woocommerce-multi-locations-inventory-management

MultiLoca <= 4.2.15 - Authenticated (Subscriber+) Privilege Escalation

CRITICAL PLUGIN

worpit-admin-dashboard-plugin

iControlWP <= 5.5.3 - Unauthenticated Privilege Escalation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto