Resumen ejecutivo
Se ha identificado una vulnerabilidad en DirectoryPress hasta la versión 3.6.26 que permite la exposición no autenticada de información. Esta falla puede comprometer datos sensibles, afectando la seguridad operativa del sitio.
Fuente base de datos: Wordfence Intelligence
DirectoryPress <= 3.6.26 - Unauthenticated Information Exposure (vulnerabilidad) - version 3.6.27
PLUGIN
MEDIUM
CVE-2026-39566
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
El fallo se presenta en el plugin DirectoryPress, donde un bypass de autenticación permite acceder a información sin requerir credenciales. Esto se traduce en un vector de ataque que puede ser explotado por cualquier usuario no autenticado.
Impacto potencial
La exposición de información sensible puede resultar en un daño a la reputación y posibles pérdidas económicas. Además, la falta de protección adecuada puede facilitar ataques posteriores, aumentando el riesgo general de seguridad del sitio.
Vector de explotación
La explotación se realiza mediante solicitudes directas a endpoints del plugin que no verifican adecuadamente la autenticación del usuario, permitiendo el acceso a datos que deberían estar restringidos.
Mitigación recomendada
Actualizar el plugin DirectoryPress a la versión 3.6.27 o superior. Revisar los registros de acceso para detectar intentos de explotación. Implementar medidas de seguridad adicionales como firewalls y limitaciones de acceso.
Señales de detección
Monitorear logs de acceso en busca de patrones inusuales o solicitudes a endpoints del plugin que no requieran autenticación.
Alcance afectado
Las versiones de DirectoryPress hasta la 3.6.26 son vulnerables. No se han confirmado casos en versiones posteriores.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
shapepress-dsgvo
WP DSGVO Tools (GDPR) <= 3.1.39 - Missing Authorization to Unauthenticated Sensitive Personal Data Disclosure via subject-access-request AJAX Endpoint (process_now/is_ajax Parameters)
CRITICAL
PLUGIN
fusion-builder
Avada (Fusion) Builder <= 3.15.3 - Unauthenticated Arbitrary File Deletion via Form Entry Value
MEDIUM
PLUGIN
2download-connector
2Download Connector for 2DL Hosted Checkout <= 0.1.5 - Missing Authorization to Unauthenticated Sensitive Customer Subscription Data Exposure via 'ToDownload_email' Parameter
MEDIUM
PLUGIN
strabl-a-checkout-solution
STRABL <= 4.5 - Unauthenticated Arbitrary Webhook Creation via REST API Endpoint
MEDIUM
PLUGIN
eventkoi-lite
Event Koi Lite <= 1.3.13.1 - Missing Authorization to Unauthenticated Sensitive Information Exposure via REST API Endpoints
MEDIUM
PLUGIN
firebox
FireBox Popups <= 3.1.7 - Unauthenticated Sensitive Information Exposure in 'form_id' Parameter
MEDIUM
PLUGIN
simple-membership
Simple Membership <= 4.7.5 - Missing Authorization to Unauthenticated Arbitrary Member Account Deactivation via Forged Stripe 'charge.refunded' Webhook
MEDIUM
PLUGIN
video-conferencing-with-zoom-api
Video Conferencing with Zoom <= 4.6.7 - Missing Authorization to Unauthenticated Zoom SDK Credential Exposure via 'get_auth' AJAX Action
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto