Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización incorrecta en el plugin Timetics, que afecta a las versiones hasta 1.0.46. Esta falla permite la creación no autorizada de usuarios en el entorno de Timetics Customer+.
Fuente base de datos: Wordfence Intelligence
Timetics <= 1.0.46 - Incorrect Authorization to Authenticated (Timetics Customer+) User Creation
PLUGIN
MEDIUM
CVE-2025-67915
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se origina en la falta de verificación adecuada de permisos durante el proceso de creación de usuarios. Esto permite que un atacante autenticado pueda crear cuentas de usuario adicionales sin el nivel de acceso necesario, comprometiendo así la integridad del sistema.
Impacto potencial
El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados crear cuentas que podrían ser utilizadas para acceder a datos sensibles o realizar acciones no permitidas. Esto podría resultar en una violación de datos y en la pérdida de confianza por parte de los clientes.
Vector de explotación
Normalmente, esta vulnerabilidad se explota mediante la autenticación de un usuario legítimo que, aprovechando la falla, intenta crear un nuevo usuario sin las credenciales adecuadas.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Timetics a la versión 1.0.48 o superior. Además, se debe revisar la configuración de permisos de usuario y realizar auditorías de seguridad periódicas.
Señales de detección
Señales de explotación pueden incluir la creación de cuentas de usuario inusuales o la modificación de roles de usuario sin autorización. Monitorizar los registros de actividad de usuarios puede ayudar a identificar accesos no autorizados.
Alcance afectado
Las versiones del plugin Timetics hasta la 1.0.46 son las afectadas. Se recomienda a los usuarios que utilicen versiones anteriores a la 1.0.48 que realicen la actualización de inmediato.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
timetics
Timetics – Appointment Booking Calendar & Scheduling System < 1.0.52 - Missing Authorization
MEDIUM
PLUGIN
timetics
Appointment Booking and Scheduling Calendar Plugin – WP Timetics <= 1.0.36 - Missing Authorization to Unauthenticated Booking Details View And Modification
MEDIUM
PLUGIN
timetics
Timetics <= 1.0.44 - Missing Authorization
MEDIUM
PLUGIN
timetics
Timetics <= 1.0.29 - Missing Authorization
MEDIUM
PLUGIN
timetics
WP Timetics- AI-powered Appointment Booking Calendar and Online Scheduling Plugin <= 1.0.27 - Missing Authorization to Authenticated (Subscriber+) Arbitrary User Deletion
CRITICAL
PLUGIN
timetics
WP Timetics- AI-powered Appointment Booking Calendar and Online Scheduling Plugin <= 1.0.25 - Insecure Direct Object Reference to Unauthenticated Arbitrary User Password/Email Reset/Account Takeover
MEDIUM
PLUGIN
timetics
Timetics <= 1.0.23 - Authorization Bypass
HIGH
PLUGIN
timetics
Timetics- AI-powered Appointment Booking with Visual Seat Plan and ultimate Calendar Scheduling Plugin <= 1.0.21 - Missing Authorization to Limited Privilege Escalation
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto