Fuente base de datos: Wordfence Intelligence

Workreap <= 3.3.5 - Authenticated (Subscriber+) Arbitrary File Deletion

PLUGIN HIGH CVE-2025-59566

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Workreap, que permite la eliminación arbitraria de archivos por usuarios autenticados con rol de suscriptor o superior. Esta falla afecta a las versiones hasta la 3.3.5 y ha sido corregida en la versión 3.3.6.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin gestiona las peticiones de eliminación de archivos, permitiendo a los usuarios autenticados, específicamente aquellos con rol de suscriptor o superior, eliminar archivos sin las debidas restricciones de seguridad.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante autenticado eliminar archivos críticos del servidor, lo que podría comprometer la integridad del sitio web y causar pérdidas de datos significativas, afectando así la operativa del negocio.

Vector de explotación

Los atacantes podrían aprovechar esta vulnerabilidad enviando peticiones maliciosas a través de la interfaz del plugin, lo que les permitiría eliminar archivos de forma no autorizada.

Mitigación recomendada

Se recomienda actualizar el plugin Workreap a la versión 3.3.6 o superior de inmediato. Además, se sugiere revisar los permisos de usuario y aplicar medidas de seguridad adicionales para mitigar riesgos futuros.

Señales de detección

Señales de posible explotación incluyen registros de eliminación de archivos inusuales o no autorizados, así como cambios inesperados en la estructura de archivos del servidor.

Alcance afectado

Las versiones del plugin Workreap hasta la 3.3.5 son vulnerables. Se debe verificar la instalación en todos los sitios que utilicen este plugin.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

workreap

Workreap (theme's plugin) <= 3.3.6 - Authenticated (Subscriber+) SQL Injection

CRITICAL PLUGIN

workreap

Workreap <= 3.3.1 - Authentication Bypass via 'workreap_verify_user_account'

HIGH PLUGIN

workreap

Workreap <= 3.3.2 - Authenticated (Subscriber+) Arbitrary File Upload via 'workreap_temp_upload_to_media'

CRITICAL PLUGIN

workreap

Workreap <= 3.2.5 - Unauthenticated Privilege Escalation via Account Takeover

MEDIUM THEME

workreap

Workreap <= 2.6.3 - Insecure Direct Object Reference

MEDIUM THEME

workreap

Workreap < 2.6.3 - Insecure Direct Objection Reference to Private Message Disclosure

HIGH THEME

workreap

Workreap < 2.2.2 - Cross-Site Request Forgery

CRITICAL THEME

workreap

Workreap - Freelance Marketplace and Directory WordPress Theme < 2.2.2 - Arbitrary File Upload

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto