Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin SMS Alert Order Notifications, que afecta a las versiones hasta la 3.8.8. Esta vulnerabilidad puede permitir accesos no autorizados a funciones críticas del plugin.
Fuente base de datos: Wordfence Intelligence
SMS Alert Order Notifications <= 3.8.8 - Missing Authorization
PLUGIN
MEDIUM
CVE-2025-66086
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo se origina por la falta de controles de autorización adecuados, lo que permite que usuarios no autenticados puedan realizar acciones que deberían estar restringidas. La superficie de ataque se centra en las funciones del plugin que gestionan notificaciones de pedidos.
Impacto potencial
El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante no autenticado acceder a información sensible o manipular notificaciones de pedidos, lo que podría afectar la confianza del cliente y la integridad del sistema.
Vector de explotación
La explotación de esta vulnerabilidad suele realizarse mediante el envío de solicitudes maliciosas a las funciones del plugin que no requieren autenticación, permitiendo así el acceso a información o acciones no autorizadas.
Mitigación recomendada
Para mitigar el riesgo, se recomienda actualizar el plugin SMS Alert Order Notifications a la versión 3.8.9 o superior. Además, se sugiere implementar controles de acceso adicionales y revisar los registros de actividad del plugin para detectar accesos inusuales.
Señales de detección
Las señales de riesgo incluyen intentos de acceso a funciones del plugin por parte de usuarios no autenticados y cambios inesperados en la configuración de notificaciones de pedidos.
Alcance afectado
Las versiones afectadas son todas las versiones del plugin SMS Alert Order Notifications hasta la 3.8.8. La versión 3.8.9 y posteriores han corregido esta vulnerabilidad.
Vulnerabilidades relacionadas
HIGH
PLUGIN
sms-alert
SMS Alert Order Notifications <= 3.8.5 - Unauthenticated SQL Injection
HIGH
PLUGIN
sms-alert
SMS Alert Order Notifications – WooCommerce <= 3.8.1 - Authenticated (Subscriber+) Privilege Escalation via handleWpLoginCreateUserAction Function
MEDIUM
PLUGIN
sms-alert
SMS Alert Order Notifications – WooCommerce <= 3.8.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via sa_verify Shortcode
HIGH
PLUGIN
sms-alert
SMS Alert Order Notifications – WooCommerce <= 3.8.1 - Unauthenticated SQL Injection
CRITICAL
PLUGIN
sms-alert
SMS Alert Order Notifications – WooCommerce <= 3.7.9 - Unauthenticated Account Takeover/Privilege Escalation
HIGH
PLUGIN
sms-alert
SMS Alert Order Notifications – WooCommerce <= 3.7.8 - Unauthenticated SQL Injection
MEDIUM
PLUGIN
sms-alert
SMS Alert Order Notifications – WooCommerce <= 3.7.8 - Reflected Cross-Site Scripting
HIGH
PLUGIN
sms-alert
SMS Alert Order Notifications – WooCommerce <= 3.7.6 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Options Update
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto