Fuente base de datos: Wordfence Intelligence

BetterDocs <= 4.1.1 - Missing Authorization to Private And Password-Protected Posts Information Disclosure (falta de autorizacion) - version 4.1.2

PLUGIN MEDIUM CVE-2025-7499

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de divulgación de información en el plugin BetterDocs, que afecta a las versiones hasta la 4.1.1. Esta vulnerabilidad permite el acceso no autorizado a publicaciones privadas y protegidas por contraseña.

Contexto técnico

La vulnerabilidad se produce debido a la falta de autorización adecuada en el manejo de publicaciones privadas y protegidas por contraseña. Esto permite que usuarios no autorizados accedan a información sensible que debería estar restringida.

Impacto potencial

El impacto potencial incluye la exposición de información confidencial y la posible pérdida de privacidad para los usuarios. Esto podría dañar la reputación del negocio y comprometer la confianza de los clientes.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo a las publicaciones sin la debida autorización, lo que podría realizarse a través de solicitudes maliciosas que omiten las comprobaciones de acceso.

Mitigación recomendada

Se recomienda actualizar el plugin BetterDocs a la versión 4.1.2 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar las configuraciones de permisos y realizar auditorías de seguridad periódicas.

Señales de detección

Señales de riesgo incluyen accesos no autorizados a publicaciones privadas en los registros de acceso y reportes de usuarios que encuentran información que debería estar restringida.

Alcance afectado

Las versiones del plugin BetterDocs hasta la 4.1.1 son las afectadas. Las instalaciones que no han actualizado a la versión 4.1.2 o superior están en riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

betterdocs

BetterDocs <= 4.3.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

MEDIUM PLUGIN

katalogportal-pdf-sync

Katalogportal-pdf-sync Widget <= 1.0.0 - Missing Authorization to Authenticated (Subscriber+) Information Disclosure via 'katalogportal_shortcodePrinter' AJAX Action

MEDIUM PLUGIN

mainwp-child-reports

MainWP Child Reports <= 2.2.6 - Missing Authorization to Authenticated (Subscriber+) Information Disclosure via Heartbeat API

MEDIUM PLUGIN

ninja-forms

Ninja Forms <= 3.14.1 - Authenticated (Contributor+) Sensitive Information Disclosure via Block Editor Token

MEDIUM WORDPRESS

wp-core

WordPress <= 6.9.1 - Missing Authorization to Authenticated (Author+) Sensitive Information Disclosure via query-attachments AJAX Endpoint

MEDIUM PLUGIN

classified-listing

Classified Listing – AI-Powered Classified ads & Business Directory Plugin <= 5.3.4 - Authenticated (Subscriber+) Sensitive Data Exposure

MEDIUM PLUGIN

easy-form-builder

Easy Form Builder <= 3.9.3 - Missing Authorization to Authenticated (Subscriber+) Sensitive Form Response Data Exposure

MEDIUM PLUGIN

smart-forms

Smart Forms <= 2.6.99 - Missing Authorization to Authenticated (Subscriber+) Campaign Data Exposure

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto