Fuente base de datos: Wordfence Intelligence

BSK PDF Manager <= 3.7.2 - Unauthenticated Information Exposure (vulnerabilidad)

PLUGIN MEDIUM CVE-2026-39686

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en BSK PDF Manager hasta la versión 3.7.2 que permite la exposición de información sin autenticación. Este fallo puede comprometer datos sensibles, afectando la seguridad operativa del sitio web.

Contexto técnico

La vulnerabilidad se clasifica como un bypass de autenticación, lo que permite a un atacante acceder a información restringida sin necesidad de credenciales. La superficie de ataque se centra en las funcionalidades del plugin que manejan la gestión de documentos PDF.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a los atacantes acceder a información sensible que debería estar protegida. Esto puede resultar en pérdida de confianza por parte de los usuarios y posibles repercusiones legales.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes a la API del plugin, accediendo así a datos que deberían requerir autenticación.

Mitigación recomendada

Actualizar BSK PDF Manager a la versión 3.7.2 o superior para cerrar la vulnerabilidad. Revisar los permisos de acceso a la información gestionada por el plugin. Implementar medidas de seguridad adicionales como restricciones de acceso basadas en IP.

Señales de detección

Monitorear los registros de acceso para detectar solicitudes inusuales a la API del plugin que no incluyan autenticación.

Alcance afectado

La vulnerabilidad afecta a todas las versiones de BSK PDF Manager hasta la 3.7.2. No se han confirmado otros escenarios de explotación en versiones posteriores.

Vulnerabilidades relacionadas

CRITICAL PLUGIN

geeky-bot

GeekyBot <= 1.2.2 - Missing Authorization to Unauthenticated Arbitrary Plugin Installation via 'geekybot_frontendajax' AJAX Action

MEDIUM PLUGIN

elementskit-lite

ElementsKit Elementor Addons <= 3.8.2 - Missing Authorization to Unauthenticated Widget Content Overwrite

MEDIUM PLUGIN

forminator

Forminator – Contact Form, Payment Form & Custom Form Builder <= 1.52.0 - Missing Authorization to Unauthenticated Stripe PaymentIntent Reuse / Underpayment Bypass via 'paymentid' Parameter

HIGH PLUGIN

forminator

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.52.1 - Unauthenticated Arbitrary File Read via 'upload-1[file][file_path]'

CRITICAL PLUGIN

smart-wishlist-for-more-convert-premium

MoreConvert Pro <= 1.9.14 - Authentication Bypass via Waitlist Guest Verification Token Reuse

MEDIUM PLUGIN

subscribe-to-comments-reloaded

Subscribe To Comments Reloaded <= 240119 - Improper Authorization to Unauthenticated Arbitrary Subscription Management

CRITICAL PLUGIN

user-registration-advanced-fields

User Registration Advanced Fields <= 1.6.20 - Unauthenticated Arbitrary File Upload

CRITICAL PLUGIN

user-verification

User Verification by PickPlugins <= 2.0.46 - Unauthenticated Authentication Bypass via OTP Verification REST API Endpoint

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto