Fuente base de datos: Wordfence Intelligence

Privacy Policy Generator, Terms & Conditions Generator WordPress Plugin : WP Legal Pages <= 3.4.3 - Missing Authorization to Authenticated (Contributor+) Arbitrary Plugin Installation

PLUGIN HIGH CVE-2025-8565

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WP Legal Pages, que afecta a las versiones hasta la 3.4.3. Esta falla permite la instalación arbitraria de plugins por parte de usuarios autenticados con rol de contribuidor o superior.

Contexto técnico

El fallo se origina por la falta de autorización adecuada en el proceso de instalación de plugins, lo que permite a usuarios no privilegiados ejecutar acciones que deberían estar restringidas. Esto amplía significativamente la superficie de ataque, ya que cualquier contribuidor puede potencialmente comprometer la instalación de WordPress.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la instalación de plugins maliciosos, lo que podría comprometer la integridad del sitio web, robar datos sensibles o incluso tomar el control total del entorno. Esto representa un riesgo considerable tanto para la seguridad como para la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad mediante la creación de cuentas de usuario con rol de contribuidor, que luego pueden ejecutar comandos para instalar plugins no autorizados, lo que les permite introducir código malicioso en el sitio.

Mitigación recomendada

Se recomienda actualizar el plugin WP Legal Pages a la versión 3.4.4 o superior de inmediato. Además, se sugiere revisar los roles y permisos de los usuarios en el sitio, limitando el acceso a funciones críticas solo a administradores.

Señales de detección

Es importante estar atento a la instalación de plugins no autorizados y a cambios inesperados en la configuración del sitio. También se deben monitorizar los registros de actividad de usuarios para detectar acciones inusuales por parte de contribuyentes.

Alcance afectado

Las versiones del plugin WP Legal Pages hasta la 3.4.3 son las afectadas. Cualquier instalación de WordPress que use este plugin sin la actualización correspondiente está en riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wplegalpages

WPLegalPages <= 3.5.4 - Missing Authorization

MEDIUM PLUGIN

wplegalpages

Privacy Policy Generator, Terms & Conditions Generator WordPress Plugin : WP Legal Pages <= 3.5.1 - Missing Authorization to Unauthenticated API Disconnect

MEDIUM PLUGIN

wplegalpages

Privacy Policy Generator, Terms & Conditions Generator WordPress Plugin : WP Legal Pages <= 3.2.7 - Cross-Site Request Forgery

MEDIUM PLUGIN

wplegalpages

WPLegalPages <= 2.9.2 - Authenticated (Author+) Stored Cross-Site Scripting via Shortcode

MEDIUM PLUGIN

wplegalpages

Privacy Policy Generator, Terms & Conditions Generator - WPLegalPages <= 2.7.0 - Arbitrary Settings Update to Stored Cross-Site Scripting

MEDIUM PLUGIN

wplegalpages

Privacy Policy Generator, Terms & Conditions Generator WordPress Plugin : WPLegalPages < 1.1 - Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto