Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

GamiPress – Gamification plugin to reward points, achievements, badges & ranks in WordPress <= 7.6.1 - Missing Authorization to Authenticated (Subscriber+) Information Exposure

PLUGIN MEDIUM CVE-2025-13812

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha detectado una vulnerabilidad de tipo exposición de información en el plugin GamiPress para WordPress, que afecta a las versiones hasta la 7.6.1. Esta falla permite a usuarios autenticados con rol de suscriptor o superior acceder a información sensible sin la autorización adecuada.

Contexto técnico

La vulnerabilidad se origina en la falta de control de acceso en ciertas funcionalidades del plugin GamiPress, lo que permite a los usuarios autenticados acceder a datos que deberían estar restringidos. Esto se traduce en una superficie de ataque que puede ser explotada por cualquier usuario con un rol de suscriptor o superior.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la exposición de información sensible, lo que podría comprometer la privacidad de los usuarios y la integridad de la plataforma. Esto podría resultar en daños a la reputación del negocio y posibles implicaciones legales.

Vector de explotación

La explotación de esta vulnerabilidad se realiza a través de solicitudes directas a las funciones del plugin que no implementan correctamente las restricciones de acceso, permitiendo a los atacantes obtener información confidencial.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin GamiPress a la versión 7.6.2 o superior, donde se ha corregido el fallo. Además, se sugiere revisar las configuraciones de acceso y permisos de los usuarios en el sistema.

Señales de detección

Señales de riesgo incluyen accesos inusuales a información sensible por parte de usuarios con rol de suscriptor, así como logs de actividad que muestren intentos de acceder a datos restringidos.

Alcance afectado

Las versiones de GamiPress hasta la 7.6.1 están afectadas. Se recomienda a los administradores de sitios que utilicen este plugin verificar su versión y proceder a la actualización.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

gamipress

GamiPress <= 7.4.5 - Authenticated (Administrator+) SQL Injection

Ver ficha
HIGH PLUGIN

gamipress

GamiPress <= 7.3.7 - Authenticated (Contributor+) Local File Inclusion

Ver ficha
HIGH PLUGIN

gamipress

GamiPress <= 7.2.1 - Unauthenticated Arbitrary Shortcode Execution via gamipress_ajax_get_logs Function

Ver ficha
HIGH PLUGIN

gamipress

GamiPress <= 7.2.1 - Unauthenticated Arbitrary Shortcode Execution via gamipress_do_shortcode() Function

Ver ficha
HIGH PLUGIN

gamipress

GamiPress <= 7.3.1 - Unauthenticated SQL Injection via orderby Parameter

Ver ficha
HIGH PLUGIN

gamipress

GamiPress – The #1 gamification plugin to reward points, achievements, badges & ranks in WordPress <= 7.1.5 - Unauthenticated Arbitrary Shortcode Execution via gamipress_get_user_earnings

Ver ficha
MEDIUM PLUGIN

gamipress

GamiPress <= 6.8.8 - Broken Access Control

Ver ficha
MEDIUM PLUGIN

gamipress

GamiPress <= 6.8.5 - Cross-Site Request Forgery

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad