Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin Stackable para WordPress, que afecta a las versiones hasta la 3.18.1. Esta vulnerabilidad presenta un nivel de severidad medio, con un CVSS de 4.3.
Fuente base de datos: Wordfence Intelligence
Stackable <= 3.18.1 - Missing Authorization
PLUGIN
MEDIUM
CVE-2025-60094
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se origina en una falta de autorización adecuada en ciertas funciones del plugin Stackable, lo que permite a usuarios no autenticados realizar acciones no autorizadas. Esto amplía la superficie de ataque, especialmente en sitios que dependen de este plugin para la creación de bloques en Gutenberg.
Impacto potencial
El impacto potencial de esta vulnerabilidad puede incluir la manipulación de contenido, la posibilidad de inyección de código o la alteración de configuraciones del sitio, lo que podría comprometer la integridad y disponibilidad del mismo. Esto puede traducirse en pérdidas económicas y de reputación para las organizaciones afectadas.
Vector de explotación
Los atacantes podrían explotar esta vulnerabilidad enviando solicitudes maliciosas a funciones específicas del plugin que no requieren autenticación, permitiendo así ejecutar acciones no autorizadas.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Stackable a la versión 3.19.0 o superior. Además, es aconsejable realizar una revisión de los permisos de usuario y aplicar medidas de hardening en la instalación de WordPress.
Señales de detección
Señales de posible explotación incluyen registros de acceso inusuales, intentos de ejecución de funciones del plugin por usuarios no autenticados y cambios inesperados en el contenido del sitio.
Alcance afectado
Las versiones del plugin Stackable desde la 3.0 hasta la 3.18.1 son las que se encuentran afectadas por esta vulnerabilidad.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
stackable-ultimate-gutenberg-blocks
Stackable <= 3.19.5 - Authenticated (Author+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
stackable-ultimate-gutenberg-blocks
Stackable <= 3.18.1 - Authenticated (Contributor+) Sensitive Information Exposure
MEDIUM
PLUGIN
stackable-ultimate-gutenberg-blocks
Stackable – Page Builder Gutenberg Blocks <= 3.13.11 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
stackable-ultimate-gutenberg-blocks
Stackable – Page Builder Gutenberg Blocks <= 3.13.6 - Unauthenticated CSS Injection
MEDIUM
PLUGIN
stackable-ultimate-gutenberg-blocks
Stackable – Page Builder Gutenberg Blocks <= 3.13.1 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting
MEDIUM
PLUGIN
stackable-ultimate-gutenberg-blocks
Stackable – Page Builder Gutenberg Blocks <= 3.12.11 - Authenticated(Contributor+) Stored Cross-Site Scripting via Posts Block
MEDIUM
PLUGIN
stackable-ultimate-gutenberg-blocks
Freemius SDK <= 2.5.9 - Reflected Cross-Site Scripting via fs_request_get
MEDIUM
PLUGIN
stackable-ultimate-gutenberg-blocks
Freemius SDK <= 2.4.2 - Missing Authorization Checks
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto