Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

DirectoryPress – Business Directory And Classified Ad Listing <= 3.6.25 - Missing Authorization (falta de autorizacion) - version 3.6.26

PLUGIN MEDIUM CVE-2026-23548

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin DirectoryPress, que afecta a las versiones hasta la 3.6.25. Este fallo permite a atacantes potenciales realizar acciones no autorizadas, comprometiendo la integridad del sistema.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados, permitiendo que usuarios no autenticados accedan a funcionalidades restringidas. Esto se puede explotar a través de solicitudes HTTP maliciosas dirigidas a puntos finales del plugin.

Impacto potencial

El impacto en la seguridad puede resultar en la exposición de datos sensibles y la posibilidad de manipulación de contenido. Esto podría afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes no autorizadas a la API del plugin, lo que les permite realizar acciones como la creación o modificación de entradas.

Mitigación recomendada

Actualizar el plugin DirectoryPress a la versión 3.6.26 o superior para corregir la vulnerabilidad. Revisar y reforzar las políticas de autorización en el sistema para evitar accesos no deseados. Realizar auditorías de seguridad periódicas para detectar posibles brechas.

Señales de detección

Monitorizar los registros de acceso para identificar patrones inusuales de solicitudes a la API del plugin, especialmente aquellas que intentan acceder a funciones restringidas.

Alcance afectado

Las versiones afectadas incluyen todas las versiones de DirectoryPress hasta la 3.6.25. No se han confirmado casos en versiones posteriores a la 3.6.26.

Vulnerabilidades relacionadas

HIGH PLUGIN

directorypress

DirectoryPress – Business Directory And Classified Ad Listing <= 3.6.26 - Unauthenticated SQL Injection via 'packages'

Ver ficha
MEDIUM PLUGIN

directorypress

DirectoryPress – Business Directory And Classified Ad Listing <= 3.6.26 - Missing Authorization

Ver ficha
MEDIUM PLUGIN

directorypress

DirectoryPress <= 3.6.25 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

directorypress

DirectoryPress <= 3.6.22 - Cross-Site Request Forgery

Ver ficha
MEDIUM PLUGIN

directorypress

DirectoryPress <= 3.6.19 - Cross-Site Request Forgery to Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

directorypress

DirectoryPress <= 3.6.16 - Authenticated (Author+) Stored Cross-Site Scripting

Ver ficha
CRITICAL PLUGIN

directorypress

DirectoryPress <= 3.6.10 - Authenticated (Contributor+) SQL Injection

Ver ficha
HIGH PLUGIN

directorypress

DirectoryPress – Business Directory And Classified Ad Listing <= 3.6.7 - Reflected Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad