Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

EmailKit <= 1.6.0 - Missing Authorization to Authenticated (Author+) Arbitrary Content Deletion

PLUGIN MEDIUM CVE-2025-60106

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de eliminación arbitraria de contenido en el plugin EmailKit hasta la versión 1.6.0, que permite a usuarios autenticados con rol de autor o superior llevar a cabo acciones no autorizadas. La vulnerabilidad tiene una severidad media y un CVSS de 4.3.

Contexto técnico

La vulnerabilidad radica en la falta de autorización adecuada en el plugin EmailKit, lo que permite a usuarios con privilegios insuficientes eliminar contenido sin restricciones. Esto representa un riesgo significativo en la gestión de contenido y la integridad del sitio.

Impacto potencial

El impacto de esta vulnerabilidad puede ser considerable, ya que permite a usuarios no autorizados eliminar contenido crítico, lo que podría afectar la reputación y funcionalidad del negocio, así como la confianza de los usuarios.

Vector de explotación

Generalmente, la explotación de esta vulnerabilidad se realiza mediante la autenticación como un usuario con rol de autor o superior y el envío de solicitudes manipuladas para eliminar contenido sin las debidas autorizaciones.

Mitigación recomendada

Se recomienda actualizar el plugin EmailKit a la versión 1.6.1 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los permisos de usuario y aplicar buenas prácticas de gestión de roles.

Señales de detección

Señales de riesgo incluyen registros de eliminación de contenido inusuales o no autorizados, así como intentos de acceso a funciones administrativas por parte de usuarios con privilegios bajos.

Alcance afectado

Las versiones afectadas son todas las versiones de EmailKit hasta la 1.6.0. La versión 1.6.1 ya incluye la corrección para esta vulnerabilidad.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

emailkit

EmailKit <= 1.6.3 - Authenticated (Administrator+) Path Traversal via 'emailkit-editor-template' REST API Parameter

Ver ficha
MEDIUM PLUGIN

emailkit

EmailKit – Email Customizer for WooCommerce & WP <= 1.6.2 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Post Title Modification

Ver ficha
MEDIUM PLUGIN

emailkit

EmailKit <= 1.6.1 - Authenticated (Author+) Arbitrary File Read via Path Traversal

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad