Resumen ejecutivo
La vulnerabilidad en el plugin IDonate, presente en versiones anteriores a la 2.1.13, se debe a una falta de autorización que podría permitir accesos no autorizados. Esta vulnerabilidad tiene una severidad media con un CVSS de 5.3.
Fuente base de datos: Wordfence Intelligence
IDonate < 2.1.13 - Missing Authorization
PLUGIN
MEDIUM
CVE-2025-11154
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo se origina en la ausencia de controles adecuados de autorización en ciertas funcionalidades del plugin IDonate. Esto permite que un atacante pueda realizar acciones restringidas sin la validación necesaria, exponiendo así la superficie de ataque del sistema.
Impacto potencial
Si se explota esta vulnerabilidad, podría resultar en accesos no autorizados a funciones críticas del plugin, lo que podría comprometer la integridad de los datos y la seguridad del sitio web. Esto podría tener repercusiones negativas en la confianza del usuario y en la reputación del negocio.
Vector de explotación
Generalmente, la explotación se lleva a cabo mediante solicitudes HTTP manipuladas que aprovechan la falta de autorización, permitiendo a un atacante acceder a funcionalidades restringidas del plugin.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin IDonate a la versión 2.1.13 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar prácticas de hardening en la configuración del sitio.
Señales de detección
Señales de posible explotación incluyen registros de acceso inusuales a funciones del plugin, intentos de acceso a áreas restringidas sin la debida autorización y cambios no autorizados en la configuración del plugin.
Alcance afectado
Las versiones del plugin IDonate anteriores a la 2.1.13 son las afectadas. Se recomienda a los administradores de WordPress verificar la versión instalada y proceder a la actualización.
Vulnerabilidades relacionadas
HIGH
PLUGIN
idonate
IDonate 2.1.5 - 2.1.9 - Missing Authorization to Authenticated (Subscriber+) Account Takeover/Privilege Escalation via idonate_donor_profile Function
MEDIUM
PLUGIN
idonate
IDonate – Blood Donation, Request And Donor Management System <= 2.1.15 - Missing Authorization to Unauthenticated Arbitrary Post Deletion
MEDIUM
PLUGIN
idonate
IDonate 2.0.0 - 2.1.9 - Insecure Direct Object Reference to Authenticated (Subscriber+) Arbitrary User Deletion via admin_post_donor_delete Function
HIGH
PLUGIN
idonate
IDonate 2.1.5 - 2.1.9 - Missing Authorization to Authenticated (Subscriber+) Account Takeover/Privilege Escalation via idonate_donor_password Function
MEDIUM
PLUGIN
idonate
IDonate 2.0.0 - 2.1.9 - Missing Authorization to Authenticated (Subscriber+) Sensitive Information Disclosure via admin_donor_profile_view Function
CRITICAL
PLUGIN
idonate
IDonate <= 2.1.9 - Unauthenticated Local File Inclusion
MEDIUM
PLUGIN
idonate
IDonate – blood request management system <= 1.9.1 - Authenticated (Admin+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
idonate
Appsero <= 2.0.0 - Missing Authorization via handle_optin_optout
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto