Fuente base de datos: Wordfence Intelligence

HUSKY – Products Filter Professional for WooCommerce <= 1.3.7.2 - Authenticated (Subscriber+) Insecure Direct Object Reference via 'woof_add_query/woof_remove_query' en Woocommerce Products Filter - version 1.3.7.3

PLUGIN MEDIUM CVE-2025-13109

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de referencia de objeto directo inseguro en el plugin HUSKY – Products Filter Professional para WooCommerce, que afecta a las versiones hasta 1.3.7.2. Esta vulnerabilidad permite a usuarios autenticados con rol de suscriptor o superior acceder a recursos no autorizados.

Contexto técnico

El fallo se produce a través de las funciones 'woof_add_query' y 'woof_remove_query', donde un atacante puede manipular las solicitudes para acceder a objetos que deberían estar restringidos. Esto se considera una vulnerabilidad de tipo RCE (ejecución remota de código).

Impacto potencial

El impacto potencial incluye el acceso no autorizado a datos sensibles y la posibilidad de que un atacante ejecute código malicioso en el servidor. Esto puede comprometer la integridad de la instalación y la seguridad de los datos de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad suele realizarse a través de solicitudes manipuladas que aprovechan la falta de validación adecuada en las funciones mencionadas, permitiendo a un atacante autenticado acceder a objetos no permitidos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.3.7.3 o superior. Además, es aconsejable revisar los permisos de los roles de usuario y aplicar medidas de seguridad adicionales como la validación de entradas y la restricción de accesos.

Señales de detección

Señales de riesgo incluyen registros de acceso inusuales o intentos de acceso a recursos restringidos por parte de usuarios con rol de suscriptor. También se deben monitorizar las solicitudes a las funciones 'woof_add_query' y 'woof_remove_query'.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.3.7.3 del plugin HUSKY – Products Filter Professional para WooCommerce.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

woocommerce-products-filter

HUSKY – Products Filter Professional for WooCommerce <= 1.3.7.3 - Authenticated (Subscriber+) Insecure Direct Object Reference via 'woof_add_subscr'

HIGH PLUGIN

woocommerce-products-filter

HUSKY – Products Filter Professional for WooCommerce <= 1.3.6.4 - Unauthenticated Local File Inclusion

CRITICAL PLUGIN

woocommerce-products-filter

HUSKY – Products Filter Professional for WooCommerce <= 1.3.6.5 - Unauthenticated Local File Inclusion

MEDIUM PLUGIN

woocommerce-products-filter

HUSKY – Products Filter Professional for WooCommerce <= 1.3.6.1 - Insecure Direct Object Reference to Unsubscribe

CRITICAL PLUGIN

woocommerce-products-filter

HUSKY – Products Filter for WooCommerce (formerly WOOF) <= 1.3.5.2 - Authenticated (Subscriber+) Remote Code Execution

MEDIUM PLUGIN

woocommerce-products-filter

HUSKY – Products Filter for WooCommerce (formerly WOOF) <= 1.3.5.1 - Cross-Site Request Forgery

HIGH PLUGIN

woocommerce-products-filter

HUSKY – Products Filter Professional for WooCommerce <= 1.3.5.2 - Authenticated (Admin+) Local File Inclusion

MEDIUM PLUGIN

woocommerce-products-filter

HUSKY – Products Filter for WooCommerce (formerly WOOF) <= 1.3.4.3 - Cross-Site Request Forgery

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto