Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

FunnelKit Automations – Email Marketing Automation and CRM for WordPress & WooCommerce <= 3.6.4.1 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Email Sending

PLUGIN MEDIUM CVE-2025-12469

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo RCE en el plugin FunnelKit Automations para WordPress y WooCommerce, que permite el envío arbitrario de correos electrónicos por usuarios autenticados con rol de suscriptor o superior. Esta vulnerabilidad afecta a las versiones hasta la 3.6.4.1 y fue publicada el 4 de noviembre de 2025.

Contexto técnico

La vulnerabilidad se origina por la falta de autorización adecuada en el envío de correos electrónicos, lo que permite a los usuarios autenticados, incluso con permisos limitados, ejecutar acciones no autorizadas. Esto expone la superficie de ataque a cualquier suscriptor que tenga acceso al sistema.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, ya que podría ser utilizada para enviar correos electrónicos no deseados o maliciosos, afectando la reputación del negocio y la seguridad de la información de los usuarios. Además, podría facilitar ataques de phishing o spam desde la plataforma comprometida.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza mediante la manipulación de las funciones de envío de correos electrónicos del plugin, permitiendo a un atacante autenticado enviar mensajes arbitrarios sin la debida autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 3.6.4.2 o superior. Además, se sugiere revisar los permisos de los usuarios y aplicar medidas de hardening en la configuración del plugin y del sitio web en general.

Señales de detección

Las señales de posible explotación incluyen el envío inusual de correos electrónicos desde cuentas de usuario con permisos limitados o la aparición de quejas de usuarios sobre correos no solicitados provenientes del sistema.

Alcance afectado

Las versiones afectadas de FunnelKit Automations son todas las anteriores a la 3.6.4.2, lo que incluye la 3.6.4.1 y anteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wp-marketing-automations

FunnelKit Automations – Email Marketing Automation and CRM for WordPress & WooCommerce <= 3.6.4.1 - Unauthenticated Sensitive Information Exposure

Ver ficha
CRITICAL PLUGIN

wp-marketing-automations

Recover WooCommerce Cart Abandonment, Newsletter, Email Marketing, Marketing Automation By FunnelKit <= 3.5.3 - Missing Authorization to Unauthenticated Arbitrary Plugin Installation

Ver ficha
MEDIUM PLUGIN

wp-marketing-automations

Abandoned Cart Recovery for WooCommerce by Autonami <= 2.1.1 - Missing Authorization

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad