Fuente base de datos: Wordfence Intelligence

Contest Gallery – Upload & Vote Photos, Media, Sell with PayPal & Stripe <= 28.1.2.1 - Authenticated (Subscriber+) Server-Side Request Forgery (Server-Side Request Forgery (SSRF)) - version 28.1.2.2

PLUGIN MEDIUM CVE-2026-24964

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

La vulnerabilidad identificada en el plugin Contest Gallery permite realizar un ataque de Server-Side Request Forgery (SSRF) en versiones anteriores a la 28.1.2.2. Este fallo afecta a usuarios autenticados con roles de suscriptor o superiores, lo que incrementa el riesgo de explotación.

Contexto técnico

El fallo de SSRF se produce cuando el plugin no valida adecuadamente las solicitudes realizadas desde el servidor. Esto permite a un atacante enviar peticiones maliciosas a recursos internos o externos, eludiendo restricciones de acceso.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad del servidor, permitiendo a un atacante acceder a información sensible o realizar acciones no autorizadas. Esto puede tener repercusiones significativas en la integridad y disponibilidad de los datos del negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas a través del plugin, lo que les permite interactuar con servicios internos que normalmente estarían protegidos.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin Contest Gallery a la versión 28.1.2.2 o superior. Además, se debe revisar la configuración del servidor y aplicar medidas de seguridad adicionales para limitar el acceso a servicios internos.

Señales de detección

Se deben monitorizar los registros de acceso y errores del servidor en busca de patrones inusuales que indiquen intentos de explotación, como solicitudes a direcciones IP internas o a puertos no comunes.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 28.1.2.2 del plugin Contest Gallery, utilizado en instalaciones de WordPress.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

userswp

UsersWP <= 1.2.58 - Authenticated (Subscriber+) Server-Side Request Forgery via 'uwp_crop' Parameter

HIGH PLUGIN

webmention

Webmention <= 5.6.2 - Unauthenticated Blind Server-Side Request Forgery

MEDIUM PLUGIN

webmention

Webmention <= 5.6.2 - Authenticated (Subscriber+) Server-Side Request Forgery

HIGH THEME

oxygen

Oxygen <= 6.0.8 - Unauthenticated Server-Side Request Forgery via route_path

MEDIUM PLUGIN

contest-gallery

Contest Gallery – Upload & Vote Photos, Media, Sell with PayPal & Stripe <= 28.1.2.2 - Missing Authorization

HIGH PLUGIN

contest-gallery

Contest Gallery <= 28.1.5 - Unauthenticated Privilege Escalation Admin Account Takeover via Registration Confirmation Email-to-ID Type Confusion

HIGH PLUGIN

optin

WowOptin: Next-Gen Popup Maker <= 1.4.29 - Unauthenticated Server-Side Request Forgery via 'link' Parameter in REST API

HIGH PLUGIN

mimetypes-link-icons

MimeTypes Link Icons <= 3.2.20 - Authenticated (Contributor+) Server-Side Request Forgery via Crafted Links in Post Content

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto