Fuente base de datos: Wordfence Intelligence

Gallery Plugin for WordPress – Envira Photo Gallery <= 1.12.0 - Missing Authorization to Authenticated (Author+) Multiple Gallery Actions

PLUGIN MEDIUM CVE-2025-12377

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Envira Photo Gallery para WordPress, que afecta a las versiones hasta la 1.12.0. Esta falla permite a usuarios autenticados realizar acciones no permitidas en múltiples galerías.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados en las acciones de gestión de galerías del plugin. Esto significa que un usuario con rol de autor o superior podría acceder y modificar galerías que no le pertenecen, comprometiendo la integridad del contenido.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, ya que podría permitir a un atacante autenticado alterar o eliminar galerías de otros usuarios, lo que podría resultar en pérdida de datos o en la manipulación del contenido visual del sitio web.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza mediante la autenticación como un usuario con rol de autor o superior, tras lo cual se pueden ejecutar acciones no autorizadas en las galerías de otros usuarios.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Envira Photo Gallery a la versión 1.12.1 o superior. Además, se sugiere revisar y ajustar las configuraciones de usuario y permisos en el sitio.

Señales de detección

Señales de riesgo incluyen intentos de acceso a galerías por parte de usuarios no autorizados o cambios no esperados en las galerías que no pertenecen a un usuario específico.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.12.1 del plugin Envira Photo Gallery.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

envira-gallery-lite