Fuente base de datos: Wordfence Intelligence

NotificationX <= 3.1.11 - Missing Authorization to Authenticated (Contributor+) Analytics Reset

PLUGIN MEDIUM CVE-2026-0554

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

La vulnerabilidad identificada en el plugin NotificationX hasta la versión 3.1.11 permite a usuarios autenticados con rol de contribuyente o superior restablecer las analíticas sin la autorización adecuada. Este problema, catalogado con una severidad media, puede comprometer la integridad de los datos analíticos de la aplicación.

Contexto técnico

El fallo radica en la falta de controles de autorización adecuados en las funciones que gestionan el restablecimiento de las analíticas. Esto permite que cualquier usuario que tenga un rol de contribuyente o superior ejecute acciones que deberían estar restringidas a administradores, lo que amplía la superficie de ataque.

Impacto potencial

El impacto potencial incluye la manipulación de datos analíticos, lo que podría llevar a decisiones empresariales erróneas basadas en información incorrecta. Además, la falta de control de acceso puede erosionar la confianza en la plataforma y afectar la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad puede realizarse mediante la ejecución de solicitudes maliciosas a las funciones del plugin que no verifican adecuadamente los permisos del usuario, permitiendo así el restablecimiento de las analíticas.

Mitigación recomendada

Actualizar el plugin NotificationX a la versión 3.2.1 o superior para corregir la vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar principios de menor privilegio en la gestión de roles.

Señales de detección

Señales de riesgo pueden incluir registros de intentos de restablecimiento de analíticas por parte de usuarios no autorizados o cambios inesperados en los datos analíticos que no coinciden con las acciones de los administradores.

Alcance afectado

Las versiones afectadas son todas las versiones de NotificationX hasta la 3.1.11. Se debe tener en cuenta que el problema se presenta en instalaciones donde se permiten usuarios con rol de contribuyente o superior.

Vulnerabilidades relacionadas

HIGH PLUGIN

notificationx

NotificationX <= 3.2.0 - Unauthenticated DOM-Based Cross-Site Scripting via 'nx-preview'

MEDIUM PLUGIN

notificationx

NotificationX <= 2.9.5 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

notificationx

NotificationX – Live Sales Notification, WooCommerce Sales Popup, FOMO, Social Proof, Announcement Banner & Floating Notification Top Bar <= 2.9.3 - Authenticated (Admin+) Stored Cross-Site Scripting

CRITICAL PLUGIN

notificationx

NotificationX – Best FOMO, Social Proof, WooCommerce Sales Popup & Notification Bar Plugin With Elementor <= 2.8.2 - Unauthenticated SQL Injection

HIGH PLUGIN

notificationx

NotificationX <= 2.3.11 - SQL Injection

CRITICAL PLUGIN

notificationx

NotificationX <= 2.3.8 - Blind SQL Injection

MEDIUM PLUGIN

notificationx

NotificationX <= 1.8.2 - Cross-Site Request Forgery Bypass

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto