Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin myCred, afectando a las versiones hasta la 2.9.7.3. Esta falla podría permitir accesos no autorizados a funciones críticas del plugin.
Fuente base de datos: Wordfence Intelligence
myCred <= 2.9.7.3 - Missing Authorization
PLUGIN
MEDIUM
CVE-2026-24951
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo se origina en la falta de controles adecuados de autorización en ciertas funciones del plugin myCred. Esto permite que usuarios no autenticados o con privilegios insuficientes puedan realizar acciones que deberían estar restringidas.
Impacto potencial
La explotación de esta vulnerabilidad podría comprometer la integridad de los datos gestionados por el plugin, afectando potencialmente la confianza de los usuarios y la reputación del negocio. Además, podría llevar a pérdidas económicas si se accede a información sensible.
Vector de explotación
Generalmente, la explotación se lleva a cabo mediante el envío de solicitudes maliciosas a las funciones vulnerables del plugin, lo que permite a un atacante realizar acciones no autorizadas sin la debida autenticación.
Mitigación recomendada
Para mitigar el riesgo, se recomienda actualizar el plugin myCred a la versión 2.9.7.4 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar políticas de seguridad adicionales para limitar el acceso a funciones críticas.
Señales de detección
Se deben monitorizar registros de acceso y actividad inusual en el plugin myCred, así como alertas de intentos de acceso no autorizados a funciones restringidas.
Alcance afectado
Las versiones del plugin myCred hasta la 2.9.7.3 se ven afectadas. La versión 2.9.7.4 y posteriores incluyen la corrección de esta vulnerabilidad.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
mycred
myCred <= 2.9.7.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'mycred_load_coupon' Shortcode
MEDIUM
PLUGIN
mycred
myCred – Points Management System For Gamification, Ranks, Badges, and Loyalty Program <= 2.9.7.1 - Missing Authorization to Sensitive Information Exposure
MEDIUM
PLUGIN
mycred
myCred – Points Management System For Gamification, Ranks, Badges, and Loyalty Program <= 2.9.7 - Missing Authorization to Unauthenticated Withdrawal Request Approval
MEDIUM
PLUGIN
mycred
myCred – Points Management System For Gamification, Ranks, Badges, and Loyalty Rewards Program. <= 2.9.7.6 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
mycred
myCred <= 2.9.4.3 - Authenticated (Subscriber+) Race Condition
MEDIUM
PLUGIN
mycred
myCred <= 2.9.4.3 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
mycred
myCred <= 2.9.4.2 - Missing Authorization
MEDIUM
PLUGIN
mycred
myCred <= 2.9.4.2 - Missing Authorization
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto