Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin Amelia, que afecta a las versiones anteriores a 1.2.38. Esta debilidad podría permitir a usuarios no autorizados acceder a funcionalidades restringidas.
Fuente base de datos: Wordfence Intelligence
Amelia <= 1.2.38 - Missing Authorization en Ameliabooking (falta de autorizacion) - version 2.0
PLUGIN
MEDIUM
CVE-2026-24967
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
El fallo se origina por la falta de controles adecuados de autorización en ciertas funcionalidades del plugin, lo que expone la superficie de ataque a posibles intrusos que buscan acceder a datos o funciones sin los permisos necesarios.
Impacto potencial
La explotación de esta vulnerabilidad podría comprometer la integridad de los datos y la privacidad de los usuarios, así como afectar la reputación de la empresa al permitir accesos no autorizados a información sensible.
Vector de explotación
Los atacantes podrían aprovechar esta debilidad enviando solicitudes maliciosas que eluden los controles de autorización, accediendo así a funciones que deberían estar restringidas a usuarios autenticados.
Mitigación recomendada
Actualizar el plugin Amelia a la versión 2.0 o superior, donde se ha abordado esta vulnerabilidad. Además, realizar una auditoría de seguridad para verificar la configuración de permisos y accesos en el sistema.
Señales de detección
Monitorear registros de acceso y errores que indiquen intentos fallidos de acceso a funcionalidades restringidas, así como la actividad inusual de usuarios en el sistema.
Alcance afectado
Las versiones del plugin Amelia anteriores a la 1.2.38 son las que presentan esta vulnerabilidad, por lo que se recomienda a los usuarios verificar sus instalaciones.
Vulnerabilidades relacionadas
HIGH
PLUGIN
ameliabooking
Amelia Booking <= 9.1.2 - Authenticated (Customer+) Insecure Direct Object Reference to Arbitrary User Password Change
HIGH
PLUGIN
ameliabooking
Booking for Appointments and Events Calendar – Amelia <= 1.2.38 - Authenticated (Employee+) Privilege Escalation
MEDIUM
PLUGIN
ameliabooking
Booking for Appointments and Events Calendar – Amelia <= 1.2.38 - Missing Authorization to Unauthenticated Multiple AJAX Actions
MEDIUM
PLUGIN
ameliabooking
Amelia 1.2.18 - 1.2.36 - Unauthenticated Sensitive Information Exposure
HIGH
PLUGIN
ameliabooking
Booking for Appointments and Events Calendar – Amelia <= 1.2.35 - Unauthenticated SQL Injection via search
MEDIUM
PLUGIN
ameliabooking
Booking for Appointments and Events Calendar – Amelia <= 1.2.19 - Unauthenticated Full Path Disclosure
MEDIUM
PLUGIN
ameliabooking
Amelia <= 1.2.16 - Unauthenticated Insecure Direct Object Reference
MEDIUM
PLUGIN
ameliabooking
Booking for Appointments and Events Calendar – Amelia Premium <= 7.7 and Lite <= 1.2.4 - Missing Authorization to Sensitive Information Exposure
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto