Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Download Manager <= 3.3.32 - Authenticated (Subscriber+) Information Exposure

PLUGIN MEDIUM CVE-2025-63070

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Download Manager, que afecta a las versiones hasta la 3.3.32. Esta vulnerabilidad permite la exposición de información a usuarios autenticados con rol de suscriptor o superior.

Contexto técnico

La vulnerabilidad se origina en una incorrecta gestión de permisos, lo que permite a los usuarios autenticados acceder a información sensible que debería estar restringida. Esto amplía la superficie de ataque, ya que cualquier usuario con el rol adecuado puede potencialmente explotar esta debilidad.

Impacto potencial

La exposición de información sensible puede comprometer la seguridad de los datos de los usuarios y afectar la confianza en la plataforma. Esto podría traducirse en repercusiones legales y en daños a la reputación de la empresa.

Vector de explotación

La explotación suele realizarse mediante la manipulación de solicitudes HTTP que acceden a recursos restringidos, permitiendo a los atacantes autenticados obtener datos no autorizados.

Mitigación recomendada

Actualizar el plugin Download Manager a la versión 3.3.33 o superior es esencial para mitigar esta vulnerabilidad. Además, se recomienda revisar los permisos de usuario y realizar auditorías de seguridad periódicas.

Señales de detección

Señales de riesgo incluyen accesos no autorizados a información sensible por parte de usuarios autenticados y registros de actividad sospechosa en el sistema.

Alcance afectado

Las versiones del plugin Download Manager desde la 3.3.32 y anteriores están afectadas por esta vulnerabilidad.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

download-manager

Download Manager <= 3.3.49 - Missing Authorization to Authenticated (Subscriber+) User Email Enumeration via 'user' Parameter

Ver ficha
MEDIUM PLUGIN

download-manager

Download Manager <= 3.3.46 - Reflected Cross-Site Scripting via 'redirect_to' Parameter

Ver ficha
HIGH PLUGIN

download-manager

Download Manager <= 3.3.40 - Unauthenticated Limited Privilege Escalation via updatePassword

Ver ficha
MEDIUM PLUGIN

download-manager

Download Manager <= 3.3.32 - Missing Authorization to Authenticated (Subscriber+) Media Attachment Password Disclosure

Ver ficha
MEDIUM PLUGIN

download-manager

Download Manager <= 3.3.30 - Unauthenticated Cron Trigger due to Hardcoded Cron Key

Ver ficha
MEDIUM PLUGIN

download-manager

Download Manager <= 3.3.24 - Cross-Site Request Forgery

Ver ficha
MEDIUM PLUGIN

download-manager

Download Manager <= 3.3.25 - Unauthenticated Sensitive Information Exposure

Ver ficha
MEDIUM PLUGIN

download-manager

Download Manager <= 3.3.23 - Reflected Cross-Site Scripting via `user_ids` Parameter

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad