Fuente base de datos: Wordfence Intelligence

MetForm Pro <= 3.9.7 - Unauthenticated Payment Amount Manipulation via 'mf-calculation'

PLUGIN MEDIUM CVE-2026-1782

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin MetForm Pro (versiones <= 3.9.7) que permite la manipulación no autenticada de montos de pago. Esta brecha de seguridad puede comprometer la integridad de las transacciones y afectar la confianza del cliente.

Contexto técnico

El fallo se origina en un bypass de autenticación que afecta la funcionalidad de cálculo de pagos a través de la función 'mf-calculation'. Los atacantes pueden manipular los montos de pago sin necesidad de autenticación, lo que expone a los sitios a fraudes financieros.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en pérdidas económicas significativas y daños a la reputación del negocio, ya que los usuarios pueden ser inducidos a realizar pagos incorrectos. La seguridad de las transacciones se ve comprometida, lo que puede llevar a una pérdida de confianza por parte de los clientes.

Vector de explotación

Los atacantes pueden explotar este fallo enviando solicitudes manipuladas a la función afectada, lo que les permite alterar los montos de pago sin autenticarse en el sistema.

Mitigación recomendada

Actualizar el plugin MetForm Pro a la versión 3.9.8 o superior para cerrar la vulnerabilidad. Revisar los registros de transacciones para detectar actividades sospechosas relacionadas con montos de pago. Implementar medidas de seguridad adicionales, como la validación de pagos y la autenticación de usuarios.

Señales de detección

Señales de riesgo incluyen transacciones con montos inusuales, registros de acceso no autenticados a la función 'mf-calculation' y cambios en los montos de pago que no corresponden a las configuraciones previas.

Alcance afectado

Las versiones afectadas son MetForm Pro hasta la 3.9.7. La versión 3.9.8 y posteriores no presentan esta vulnerabilidad. No se han confirmado casos en instalaciones que no utilicen este plugin.

Vulnerabilidades relacionadas

CRITICAL THEME

webstack

WebStack <= 1.2024 - Unauthenticated Arbitrary File Upload

CRITICAL PLUGIN

visa-acceptance-solutions

Visa Acceptance Solutions <= 2.1.0 - Unauthenticated Authentication Bypass via Billing Email

MEDIUM PLUGIN

cartasi-x-pay

Nexi XPay <= 8.3.0 - Missing Authorization to Unauthenticated Order Status Modification

MEDIUM PLUGIN

interactive-3d-flipbook-powered-physics-engine

3D FlipBook – PDF Embedder, PDF Flipbook Viewer, Flipbook Image Gallery <= 1.16.17 - Missing Authorization to Unauthenticated Private/Draft Flipbook Data Exposure

MEDIUM PLUGIN

advanced-custom-fields

Advanced Custom Fields (ACF®) <= 6.7.0 - Unauthenticated Missing Authorization to Arbitrary Post/Page Disclosure via AJAX Field Query Parameters

MEDIUM PLUGIN

user-registration

User Registration & Membership <= 5.1.4 - Unauthenticated Open Redirect via 'redirect_to_on_logout' Parameter

CRITICAL PLUGIN

learnpress

LearnPress <= 4.3.2.8 - Missing Authorization to Unauthenticated Arbitrary Quiz Answer Deletion

HIGH PLUGIN

tutor

Tutor LMS <= 3.9.7 - Missing Authorization to Unauthenticated Arbitrary Billing Profile Overwrite via 'order_id' Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto