Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Fluent Forms <= 6.1.7 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Form Creation via AI Builder

PLUGIN MEDIUM CVE-2025-13722

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Fluent Forms, que permite la creación arbitraria de formularios por parte de usuarios autenticados con rol de suscriptor o superior. Esta vulnerabilidad afecta a las versiones hasta la 6.1.7 y ha sido corregida en la versión 6.1.8.

Contexto técnico

La vulnerabilidad se origina por la falta de autorización adecuada en el proceso de creación de formularios mediante el AI Builder, lo que permite a los usuarios no autorizados acceder a funcionalidades que deberían estar restringidas. Esto expone el sistema a la manipulación de formularios sin los permisos necesarios.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a los atacantes crear formularios maliciosos que podrían recopilar información sensible de los usuarios o alterar la funcionalidad del sitio. Esto podría llevar a la pérdida de confianza por parte de los usuarios y posibles daños a la reputación de la empresa.

Vector de explotación

Los atacantes podrían explotar esta vulnerabilidad accediendo al AI Builder como usuarios autenticados con rol de suscriptor o superior, lo que les permitiría crear formularios arbitrarios sin la debida autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Fluent Forms a la versión 6.1.8 o superior. Además, se sugiere revisar los roles y permisos de los usuarios autenticados para asegurarse de que no tengan acceso innecesario a funcionalidades críticas.

Señales de detección

Se deben monitorizar los registros de actividad del plugin para detectar intentos inusuales de creación de formularios por usuarios con permisos limitados. También es recomendable establecer alertas para cambios en la configuración del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 6.1.8 del plugin Fluent Forms. Esto incluye todas las instalaciones que utilicen estas versiones en sus sitios web.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

fluentform

Fluent Forms <= 6.1.14 - Authenticated (Subscriber+) Stored Cross-Site Scripting via AI Form Builder Module

Ver ficha
MEDIUM PLUGIN

fluentform

FluentForm <= 6.1.11 - Unauthenticated Arbitrary Shortcode Execution

Ver ficha
MEDIUM PLUGIN

fluentform

Fluent Forms <= 6.1.7 - Unauthenticated Insecure Direct Object Reference to Payment Status Tampering via submission_id

Ver ficha
MEDIUM PLUGIN

fluentform

Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder 5.1.16 - 6.1.1 - Authenticated (Subscriber+) PHP Object Injection To Arbitrary File Read

Ver ficha
MEDIUM PLUGIN

fluentform

Fluent Forms <= 6.0.2 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

fluentform

Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder <= 5.2.12 - IP-Spoofing

Ver ficha
HIGH PLUGIN

fluentform

Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder <= 5.2.6 - Unauthenticated Stored Cross-Site Scripting via Form Subject

Ver ficha
MEDIUM PLUGIN

fluentform

Fluent Forms <= 5.2.0 - Authenticated (Admin+) Stored Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad