Resumen ejecutivo
Se ha identificado una vulnerabilidad de tipo bypass de autenticación en el plugin GiveWP, que permite la exposición de datos de donantes no autenticados. Esta falla afecta a las versiones hasta la 4.6.0 del plugin.
Fuente base de datos: Wordfence Intelligence
GiveWP – Donation Plugin and Fundraising Platform <= 4.6.0 - Unauthenticated Donor Data Exposure
PLUGIN
MEDIUM
CVE-2025-8620
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad permite a un atacante acceder a datos sensibles de donantes sin necesidad de autenticación previa, lo que representa un fallo en la validación de acceso a la información. La superficie de ataque se centra en las funciones del plugin que gestionan la información de donantes.
Impacto potencial
El impacto potencial incluye la exposición de información personal de donantes, lo que puede llevar a problemas de privacidad y confianza, así como posibles repercusiones legales y de reputación para la organización que utiliza el plugin.
Vector de explotación
Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a las funciones del plugin que no requieren autenticación, accediendo así a datos de donantes sin restricciones.
Mitigación recomendada
Actualizar el plugin GiveWP a la versión 4.6.1 o superior para corregir la vulnerabilidad. Además, se recomienda revisar la configuración de seguridad del sitio y aplicar medidas de hardening para proteger los datos sensibles.
Señales de detección
Señales de posible explotación incluyen accesos no autorizados a datos de donantes en los registros del servidor y patrones inusuales de tráfico hacia las funciones del plugin.
Alcance afectado
Las versiones del plugin GiveWP hasta la 4.6.0 están afectadas. Es crucial que los usuarios verifiquen sus instalaciones y actualicen a la versión corregida.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
give
GiveWP <= 4.13.1 - Unauthenticated Arbitrary Shortcode Execution
MEDIUM
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 4.10.0 - Missing Authorization to Unauthenticated Forms-Campaign Association
MEDIUM
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 4.10.0 - Missing Authorization to Unauthenticated Forms and Campaigns Disclosure
MEDIUM
PLUGIN
give
Give <= 3.22.0 - Missing Authorization to Unauthenticated Arbitrary Earning Reports Disclosure via give_reports_earnings Function
CRITICAL
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 3.19.4 - Unauthenticated PHP Object Injection
CRITICAL
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 3.19.2 - Unauthenticated PHP Object Injection
CRITICAL
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 3.19.3 - Unauthenticated PHP Object Injection
CRITICAL
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 3.16.1 - Unauthenticated PHP Object Injection
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto