Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin Cost Calculator Builder, afectando a versiones hasta la 3.5.32. Esta falla puede ser explotada por atacantes para realizar acciones no autorizadas en el sitio web.
Fuente base de datos: Wordfence Intelligence
Cost Calculator Builder <= 3.5.32 - Missing Authorization
PLUGIN
MEDIUM
CVE-2025-62049
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se origina en la falta de controles de autorización adecuados dentro del plugin, lo que permite a usuarios malintencionados acceder a funciones restringidas. La superficie de ataque se centra en las funcionalidades del plugin que no requieren autenticación adecuada.
Impacto potencial
El impacto potencial de esta vulnerabilidad puede ser significativo, ya que permite a atacantes realizar acciones no autorizadas que podrían comprometer la integridad y confidencialidad de los datos del sitio, además de afectar la reputación del negocio.
Vector de explotación
Los atacantes suelen aprovechar esta vulnerabilidad enviando peticiones maliciosas a las funciones del plugin que no están protegidas por controles de acceso, lo que les permite ejecutar acciones en nombre de otros usuarios.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 3.5.33 o superior, donde se han implementado los controles de autorización necesarios. Además, es aconsejable revisar los permisos de usuario y aplicar buenas prácticas de seguridad en la configuración del sitio.
Señales de detección
Señales de riesgo incluyen registros de accesos no autorizados a funciones del plugin o cambios inesperados en la configuración del mismo. Monitorizar logs de actividad puede ayudar a detectar intentos de explotación.
Alcance afectado
Las versiones del plugin Cost Calculator Builder hasta la 3.5.32 están afectadas. Es crucial que los administradores de sitios que utilizan este plugin verifiquen su versión.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
cost-calculator-builder
Cost Calculator Builder <= 3.6.9 - Missing Authorization to Unauthenticated Payment Status Bypass
HIGH
PLUGIN
cost-calculator-builder
Cost Calculator Builder <= 3.6.3 - Unauthenticated Arbitrary File Deletion
HIGH
PLUGIN
cost-calculator-builder
Cost Calculator Builder <= 3.5.32 - Authenticated (Subscriber+) Missing Authorization via get_cc_orders/update_order_status Functions
MEDIUM
PLUGIN
cost-calculator-builder
Cost Calculator Builder <= 3.2.74 - Authenticated (Administrator+) Stored Cross-Site Scripting
HIGH
PLUGIN
cost-calculator-builder
Cost Calculator Builder <= 3.2.65 - Unauthenticated SQL Injection
MEDIUM
PLUGIN
cost-calculator-builder
Cost Calculator Builder <= 3.2.67 - Authenticated (Subscriber+) SQL Injection via order_ids Parameter
MEDIUM
PLUGIN
cost-calculator-builder
Cost Calculator Builder <= 3.2.65 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
cost-calculator-builder
Cost Calculator Builder <= 3.2.42 - Cross-Site Request Forgery to Settings Update
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto