Fuente base de datos: Wordfence Intelligence

Folders <= 3.1.5 - Incorrect Authorization to Authenticated (Contributor+) Folder Content Manipulation

PLUGIN MEDIUM CVE-2025-12971

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

La vulnerabilidad en el plugin Folders afecta a las versiones hasta 3.1.5, permitiendo a usuarios autenticados con rol de colaborador y superiores manipular contenido de carpetas sin la autorización adecuada. Esta falla podría comprometer la integridad de los datos almacenados en el sistema.

Contexto técnico

El fallo se origina en un control de autorización inadecuado que permite a los usuarios con permisos limitados acceder y modificar contenido de carpetas. Esto abre una superficie de ataque que puede ser explotada por usuarios que no deberían tener acceso a estas funciones.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados alterar o eliminar contenido crítico, lo que podría afectar la operativa del negocio y la confianza de los usuarios en la plataforma.

Vector de explotación

La explotación de esta vulnerabilidad se realiza a través de la manipulación de solicitudes HTTP que permiten a los usuarios autenticados realizar acciones no permitidas en las carpetas del sistema.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Folders a la versión 3.1.6 o superior. Además, es aconsejable revisar los permisos de los usuarios y aplicar políticas de control de acceso más estrictas.

Señales de detección

Señales de riesgo incluyen actividades inusuales en la manipulación de carpetas por parte de usuarios con rol de colaborador o similares, así como registros de acceso no autorizados a contenido restringido.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.1.6 del plugin Folders. Se debe prestar especial atención a las instalaciones que utilizan versiones antiguas.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

folders

Folders – Unlimited Folders to Organize Media Library Folder, Pages, Posts, File Manager <= 3.1.5 - Missing Authorization to Authenticated (Author+) Media Replacement

MEDIUM PLUGIN

folders

Folders – Unlimited Folders to Organize Media Library Folder, Pages, Posts, File Manager <= 3.0.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via SVG File Upload

MEDIUM PLUGIN

folders

Folders <= 3.0 and Folders Pro <= 3.0.2 - Directory Traversal via handle_folders_file_upload

MEDIUM PLUGIN

folders

Folders Pro <= 3.0.2 - Authenticated (Subscriber+) Stored Cross-Site Scripting via User First Name and Last Name

HIGH PLUGIN

folders

Folders <= 2.9.2 - Authenticated (Author+) Arbitrary File Upload in handle_folders_file_upload

HIGH PLUGIN

folders

Folders <= 2.9.2 - Authenticated (Author+) Arbitrary File Upload

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto