Resumen ejecutivo
Se ha identificado una vulnerabilidad en DirectoryPress hasta la versión 3.6.26 que permite la exposición no autenticada de información. Esta falla puede comprometer datos sensibles, afectando la seguridad operativa del sitio.
Fuente base de datos: Wordfence Intelligence
DirectoryPress <= 3.6.26 - Unauthenticated Information Exposure (vulnerabilidad) - version 3.6.27
PLUGIN
MEDIUM
CVE-2026-39566
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
El fallo se presenta en el plugin DirectoryPress, donde un bypass de autenticación permite acceder a información sin requerir credenciales. Esto se traduce en un vector de ataque que puede ser explotado por cualquier usuario no autenticado.
Impacto potencial
La exposición de información sensible puede resultar en un daño a la reputación y posibles pérdidas económicas. Además, la falta de protección adecuada puede facilitar ataques posteriores, aumentando el riesgo general de seguridad del sitio.
Vector de explotación
La explotación se realiza mediante solicitudes directas a endpoints del plugin que no verifican adecuadamente la autenticación del usuario, permitiendo el acceso a datos que deberían estar restringidos.
Mitigación recomendada
Actualizar el plugin DirectoryPress a la versión 3.6.27 o superior. Revisar los registros de acceso para detectar intentos de explotación. Implementar medidas de seguridad adicionales como firewalls y limitaciones de acceso.
Señales de detección
Monitorear logs de acceso en busca de patrones inusuales o solicitudes a endpoints del plugin que no requieran autenticación.
Alcance afectado
Las versiones de DirectoryPress hasta la 3.6.26 son vulnerables. No se han confirmado casos en versiones posteriores.
Vulnerabilidades relacionadas
CRITICAL
PLUGIN
geeky-bot
GeekyBot <= 1.2.2 - Missing Authorization to Unauthenticated Arbitrary Plugin Installation via 'geekybot_frontendajax' AJAX Action
MEDIUM
PLUGIN
elementskit-lite
ElementsKit Elementor Addons <= 3.8.2 - Missing Authorization to Unauthenticated Widget Content Overwrite
MEDIUM
PLUGIN
forminator
Forminator – Contact Form, Payment Form & Custom Form Builder <= 1.52.0 - Missing Authorization to Unauthenticated Stripe PaymentIntent Reuse / Underpayment Bypass via 'paymentid' Parameter
HIGH
PLUGIN
forminator
Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.52.1 - Unauthenticated Arbitrary File Read via 'upload-1[file][file_path]'
CRITICAL
PLUGIN
smart-wishlist-for-more-convert-premium
MoreConvert Pro <= 1.9.14 - Authentication Bypass via Waitlist Guest Verification Token Reuse
MEDIUM
PLUGIN
subscribe-to-comments-reloaded
Subscribe To Comments Reloaded <= 240119 - Improper Authorization to Unauthenticated Arbitrary Subscription Management
CRITICAL
PLUGIN
user-registration-advanced-fields
User Registration Advanced Fields <= 1.6.20 - Unauthenticated Arbitrary File Upload
CRITICAL
PLUGIN
user-verification
User Verification by PickPlugins <= 2.0.46 - Unauthenticated Authentication Bypass via OTP Verification REST API Endpoint
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto