Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Tag, Category, and Taxonomy Manager – AI Autotagger with OpenAI <= 3.40.1 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Taxonomy Term Manipulation en Simple Tags (falta de autorizacion) - version 3.41.0

PLUGIN MEDIUM CVE-2025-13354

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 'Tag, Category, and Taxonomy Manager – AI Autotagger' en versiones hasta la 3.40.1, que permite la manipulación arbitraria de términos de taxonomía por usuarios autenticados con rol de suscriptor o superior. Esta vulnerabilidad tiene una severidad media con un CVSS de 4.3.

Contexto técnico

El fallo se origina en la falta de autorización adecuada para la manipulación de términos de taxonomía. Esto permite a usuarios autenticados, en especial aquellos con rol de suscriptor, realizar cambios no autorizados en las taxonomías del sitio, afectando la organización y clasificación de contenido.

Impacto potencial

La explotación de esta vulnerabilidad podría llevar a una alteración no deseada de la estructura de taxonomía del sitio, lo que podría afectar la visibilidad y el SEO del contenido. Además, podría permitir a un atacante modificar la clasificación de contenido sensible, generando confusión o desinformación entre los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas a través de la interfaz del plugin, lo que les permite modificar términos de taxonomía sin los permisos adecuados.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 3.41.0 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere revisar los permisos de usuario y limitar el acceso a funciones críticas del plugin a roles más altos, como el administrador.

Señales de detección

Señales de riesgo incluyen cambios inesperados en la taxonomía del sitio, así como registros de actividad de usuarios con rol de suscriptor que intentan modificar términos de taxonomía.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.41.0 del plugin 'Tag, Category, and Taxonomy Manager – AI Autotagger'.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

simple-tags

TaxoPress <= 3.41.0 - Missing Authorization to Authenticated (Contributor+) Arbitrary Post Tag Modification

Ver ficha
MEDIUM PLUGIN

simple-tags

Tag, Category, and Taxonomy Manager – AI Autotagger with OpenAI <= 3.40.1 - Authenticated (Contributor+) SQL Injection via ORDER BY Clause

Ver ficha
MEDIUM PLUGIN

simple-tags

Tag, Category, and Taxonomy Manager – AI Autotagger with OpenAI <= 3.40.1 - Authenticated (Contributor+) SQL Injection

Ver ficha
MEDIUM PLUGIN

simple-tags

Tag, Category, and Taxonomy Manager – AI Autotagger with OpenAI <= 3.40.0 - Authenticated (Editor+) SQL Injection

Ver ficha
MEDIUM PLUGIN

simple-tags

Tag, Category, and Taxonomy Manager – AI Autotagger with OpenAI <= 3.37.2 - Authenticated (Subscriber+) Information Exposure

Ver ficha
MEDIUM PLUGIN

simple-tags

WordPress Tag, Category, and Taxonomy Manager – AI Autotagger <= 3.32.0 - Authenticated (Admin+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

simple-tags

WordPress Tag and Category Manager – AI Autotagger <= 3.13.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

Ver ficha
MEDIUM PLUGIN

simple-tags

TaxoPress <= 3.6.4 - Authenticated (Editor+) Stored Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad