Fuente base de datos: Wordfence Intelligence

RegistrationMagic <= 6.0.7.1 - Unauthenticated Privilege Escalation via admin_order

PLUGIN CRITICAL CVE-2025-15403

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin RegistrationMagic, que permite la escalación de privilegios a través de la función admin_order. Esta falla afecta a las versiones hasta la 6.0.7.1 y tiene un CVSS de 9.8, lo que la convierte en un riesgo significativo para la seguridad de las instalaciones afectadas.

Contexto técnico

El fallo de escalación de privilegios se produce en el plugin RegistrationMagic, específicamente en su funcionalidad admin_order. Este tipo de vulnerabilidad permite a un atacante obtener permisos elevados que no deberían estar disponibles para su nivel de usuario, facilitando el acceso no autorizado a funciones administrativas.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en un compromiso total del sitio, permitiendo a un atacante realizar acciones administrativas, manipular datos sensibles y potencialmente afectar la integridad del sistema. Esto puede tener repercusiones graves para la reputación de la empresa y la confianza de los usuarios.

Vector de explotación

Generalmente, la explotación se realiza mediante la manipulación de solicitudes HTTP que aprovechan la falta de validación adecuada de permisos en las funciones de administración del plugin. Los atacantes pueden enviar peticiones maliciosas para escalar sus privilegios.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin RegistrationMagic a la versión 6.0.7.2 o superior. Además, se sugiere revisar los permisos de usuario y aplicar medidas de seguridad adicionales, como la implementación de firewalls y la monitorización de actividades sospechosas.

Señales de detección

Se deben estar atentos a registros de acceso inusuales, cambios en los permisos de usuario y actividades administrativas no autorizadas. También es recomendable monitorizar las peticiones HTTP hacia el plugin para detectar patrones anómalos.

Alcance afectado

Las versiones del plugin RegistrationMagic hasta la 6.0.7.1 están afectadas. Cualquier instalación que utilice estas versiones debe ser considerada en riesgo hasta que se aplique la actualización correspondiente.

Vulnerabilidades relacionadas

CRITICAL PLUGIN

custom-registration-form-builder-with-submission-manager

RegistrationMagic – User Registration Plugin with Custom Registration Forms <= 6.0.2.6 - Unauthenticated Privilege Escalation via Password Recovery

HIGH PLUGIN

custom-registration-form-builder-with-submission-manager

RegistrationMagic – Custom Registration Forms, User Registration, Payment, and User Login <= 5.3.0.0 - Authenticated (Subscriber+) Privilege Escalation

CRITICAL PLUGIN

custom-registration-form-builder-with-submission-manager

RegistrationMagic – Custom Registration Forms and User Login <= 4.6.0.3 - Authenticated Privilege Escalation

CRITICAL PLUGIN

custom-registration-form-builder-with-submission-manager

RegistrationMagic – Custom Registration Forms and User Login <= 4.6.0.3 - Authenticated Settings Import to Privilege Escalation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto