Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin Business Directory en versiones hasta la 6.4.18. Esta falla podría permitir a usuarios no autorizados realizar acciones restringidas en el sistema.
Fuente base de datos: Wordfence Intelligence
Business Directory <= 6.4.18 - Missing Authorization
PLUGIN
MEDIUM
CVE-2025-64219
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad radica en la falta de controles adecuados de autorización en el plugin Business Directory, lo que permite que usuarios no autenticados accedan a funcionalidades que deberían estar protegidas. Esto expone una superficie de ataque que puede ser aprovechada para manipular datos o acceder a información sensible.
Impacto potencial
El impacto potencial incluye la posibilidad de que un atacante realice acciones no autorizadas, lo que podría comprometer la integridad de los datos del directorio empresarial y afectar la confianza de los usuarios en la plataforma. Esto puede resultar en pérdidas económicas y daños a la reputación.
Vector de explotación
Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a las funciones del plugin que carecen de la debida autorización, lo que les permite realizar operaciones no permitidas.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Business Directory a la versión 6.4.19 o superior. Además, se debe revisar la configuración de permisos y aplicar buenas prácticas de seguridad en la gestión de usuarios y roles.
Señales de detección
Señales de riesgo incluyen intentos de acceso a funcionalidades restringidas sin la debida autenticación, así como registros de actividad inusual en el plugin que puedan indicar un intento de explotación.
Alcance afectado
Las versiones del plugin Business Directory hasta la 6.4.18 son las afectadas. Las instalaciones que no han actualizado a la versión 6.4.19 o superior están en riesgo.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
business-directory-plugin
Business Directory Plugin <= 6.4.20 - Missing Authorization to Unauthenticated Arbitrary Listing Modification
HIGH
PLUGIN
business-directory-plugin
Business Directory Plugin <= 6.4.21 - Unauthenticated SQL Injection via payment Parameter
MEDIUM
PLUGIN
business-directory-plugin
Business Directory <= 6.4.19 - Missing Authorization
MEDIUM
PLUGIN
business-directory-plugin
Business Directory <= 6.4.19 - Cross-Site Request Forgery
MEDIUM
PLUGIN
business-directory-plugin
Business Directory Plugin - Easy Listing Directories for WordPress <= 6.4.14 - Insecure Direct Object Reference to Listing Arbitrary Image Addition
HIGH
PLUGIN
business-directory-plugin
Business Directory Plugin <= 6.4.3 - Authenticated (Author+) CSV Injection
CRITICAL
PLUGIN
business-directory-plugin
Business Directory Plugin – Easy Listing Directories for WordPress <= 6.4.2 - Unauthenticated SQL Injection via listingfields Parameter
MEDIUM
PLUGIN
business-directory-plugin
Business Directory Plugin <= 6.3.9 - Missing Authorization via dispatch
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto