Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Contact Form by WPForms <= 1.9.9.3 - Missing Authorization en Wpforms Lite (falta de autorizacion) - version 1.9.9.4

PLUGIN MEDIUM CVE-2026-32446

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin WPForms Lite, afectando a versiones hasta la 1.9.9.3. Esta falla permite que usuarios no autorizados accedan a funciones restringidas, lo que puede comprometer la seguridad operativa del sitio.

Contexto técnico

El fallo se encuentra en el plugin WPForms Lite, que carece de las medidas adecuadas para verificar la autorización de los usuarios en ciertas operaciones. Esto expone el sistema a ataques donde un atacante puede ejecutar acciones no permitidas.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante realizar acciones en nombre de otros usuarios, lo que pone en riesgo datos sensibles y la integridad del sitio. Esto puede resultar en pérdida de confianza por parte de los usuarios y posibles repercusiones legales.

Vector de explotación

La vulnerabilidad se suele explotar mediante solicitudes maliciosas que eluden las verificaciones de autorización, permitiendo el acceso a funciones restringidas del plugin.

Mitigación recomendada

Actualizar WPForms Lite a la versión 1.9.9.4 o superior para corregir la vulnerabilidad. Revisar y restringir los permisos de usuario en el sitio para minimizar el riesgo. Implementar un monitoreo continuo de las actividades de los usuarios en el plugin.

Señales de detección

Revisar los logs de acceso para detectar intentos de acceso no autorizado a funciones del plugin y verificar configuraciones de permisos de usuario.

Alcance afectado

Las versiones de WPForms Lite hasta la 1.9.9.3 están afectadas. La versión 1.9.9.4 y posteriores solucionan el problema. No se han reportado casos de explotación activa.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wpforms-lite

WPForms – Easy Form Builder for WordPress – Contact Forms, Payment Forms, Surveys, & More <= 1.9.8.7 - Unauthenticated Sensitive Information Exposure

Ver ficha
MEDIUM PLUGIN

wpforms-lite

WPForms Lite <= 1.9.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'start_timestamp' Parameter

Ver ficha
MEDIUM PLUGIN

wpforms-lite

WPForms Lite <= 1.9.3.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via fieldHTML Parameter

Ver ficha
MEDIUM PLUGIN

wpforms-lite

Contact Form by WPForms <= 1.9.2.2 - Missing Authorization

Ver ficha
HIGH PLUGIN

wpforms-lite

WPForms 1.8.4 - 1.9.2.1 - Missing Authorization to Authenticated (Subscriber+) Payment Refund and Subscription Cancellation

Ver ficha
MEDIUM PLUGIN

wpforms-lite

WPForms <= 1.9.2.2 - Authenticated (Admin+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

wpforms-lite

WPForms – Easy Form Builder for WordPress <= 1.9.1.6 - Cross-Site Request Forgery (CSRF) to Plugin's Log Deletion

Ver ficha
MEDIUM PLUGIN

wpforms-lite

WPForms <= 1.9.1.5 - Authenticated (Administrator+) Stored Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad