Fuente base de datos: Wordfence Intelligence

WpStream < 4.11.2 - Authenticated (Subscriber+) Insecure Direct Object Reference (Insecure Direct Object Reference (IDOR))

PLUGIN MEDIUM CVE-2026-39526

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin WpStream, afectando a versiones anteriores a la 4.11.2. Esta falla permite a usuarios autenticados acceder a objetos no autorizados, comprometiendo la seguridad de los datos.

Contexto técnico

La vulnerabilidad se presenta en el componente WpStream, donde una referencia directa a objetos no seguros permite a usuarios con rol de suscriptor o superior acceder a información restringida. Esto se debe a una falta de controles adecuados en la gestión de permisos.

Impacto potencial

El impacto en la seguridad puede ser significativo, permitiendo a usuarios no autorizados obtener acceso a datos sensibles. Esto podría resultar en la exposición de información privada y afectar la confianza de los usuarios en la plataforma.

Vector de explotación

La explotación de esta vulnerabilidad se realiza a través de solicitudes manipuladas que apuntan a objetos específicos sin la verificación adecuada de permisos.

Mitigación recomendada

Actualizar el plugin WpStream a la versión 4.11.2 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario y asegurarse de que solo los roles adecuados tengan acceso a funcionalidades críticas. Implementar monitoreo continuo para detectar accesos no autorizados a datos sensibles.

Señales de detección

Revisar los registros de acceso en busca de solicitudes inusuales que intenten acceder a objetos sin permisos adecuados. Configuraciones de usuarios que no coincidan con las políticas de acceso también pueden ser un indicativo.

Alcance afectado

Las versiones de WpStream anteriores a la 4.11.2 son vulnerables. No se han reportado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

generateblocks

GenerateBlocks <= 2.2.0 - Insecure Direct Object Reference to Authenticated (Contributor+) Sensitive Information Exposure via Dynamic Tag Replacements

MEDIUM PLUGIN

app-builder

App Builder <= 5.5.10 - Insecure Direct Object Reference to Authenticated (Subscriber+) Arbitrary User Avatar Modification via 'user_id' Parameter

MEDIUM PLUGIN

kivicare-clinic-management-system

KiviCare – Clinic & Patient Management System (EHR) <= 4.2.1 - Authenticated (Subscriber+) Insecure Direct Object Reference

MEDIUM PLUGIN

booking-calendar-contact-form

Booking Calendar Contact Form <= 1.2.63 - Authenticated (Subscriber+) Insecure Direct Object Reference to Calendar Takeover

MEDIUM PLUGIN

eventprime-event-calendar-management

EventPrime – Events Calendar, Bookings and Tickets <= 4.3.0.0 - Authenticated (Subscriber+) Insecure Direct Object Reference

HIGH PLUGIN

wpstream

WpStream – Live Streaming, Video on Demand, Pay Per View < 4.11.2 - Authenticated (Subscriber+) Arbitrary File Upload

MEDIUM PLUGIN

fluent-boards

FluentBoards – Project Management, Task Management, Goal Tracking, Kanban Board, and, Team Collaboration <= 1.91.2 - Authenticated (Board Member+) Insecure Direct Object Reference

MEDIUM PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.1 - Authenticated (Subscriber+) Sensitive Information Exposure via Insecure Direct Object Reference

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto