Fuente base de datos: Wordfence Intelligence

JetFormBuilder <= 3.5.3 - Missing Authorization (falta de autorizacion) - version 3.5.4

PLUGIN MEDIUM CVE-2025-64384

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin JetFormBuilder, que afecta a las versiones hasta la 3.5.3. Esta falla podría permitir a un atacante eludir controles de acceso y realizar acciones no autorizadas.

Contexto técnico

La vulnerabilidad se origina en la falta de verificación adecuada de permisos en ciertas funciones del plugin, lo que permite que usuarios no autorizados accedan a funcionalidades restringidas.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a atacantes realizar operaciones que podrían comprometer la integridad de los datos y la seguridad del sitio. Esto podría resultar en pérdida de datos, alteración de formularios y daños a la reputación del negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes maliciosas que omiten los controles de autorización, lo que les permite ejecutar acciones no permitidas sin necesidad de autenticación adecuada.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin JetFormBuilder a la versión 3.5.4 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar prácticas de seguridad adicionales en la configuración del sitio.

Señales de detección

Señales de posible explotación incluyen registros de accesos no autorizados a funciones del plugin y cambios inesperados en formularios o datos asociados.

Alcance afectado

Las versiones del plugin JetFormBuilder hasta la 3.5.3 son susceptibles a esta vulnerabilidad. Las instalaciones que no han actualizado a la versión 3.5.4 o superior están en riesgo.