Fuente base de datos: Wordfence Intelligence

MetForm Pro <= 3.9.7 - Unauthenticated Payment Amount Manipulation via 'mf-calculation' (vulnerabilidad) - version 3.9.8

PLUGIN MEDIUM CVE-2026-1782

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin MetForm Pro (versiones <= 3.9.7) que permite la manipulación no autenticada de montos de pago. Esta brecha de seguridad puede comprometer la integridad de las transacciones y afectar la confianza del cliente.

Contexto técnico

El fallo se origina en un bypass de autenticación que afecta la funcionalidad de cálculo de pagos a través de la función 'mf-calculation'. Los atacantes pueden manipular los montos de pago sin necesidad de autenticación, lo que expone a los sitios a fraudes financieros.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en pérdidas económicas significativas y daños a la reputación del negocio, ya que los usuarios pueden ser inducidos a realizar pagos incorrectos. La seguridad de las transacciones se ve comprometida, lo que puede llevar a una pérdida de confianza por parte de los clientes.

Vector de explotación

Los atacantes pueden explotar este fallo enviando solicitudes manipuladas a la función afectada, lo que les permite alterar los montos de pago sin autenticarse en el sistema.

Mitigación recomendada

Actualizar el plugin MetForm Pro a la versión 3.9.8 o superior para cerrar la vulnerabilidad. Revisar los registros de transacciones para detectar actividades sospechosas relacionadas con montos de pago. Implementar medidas de seguridad adicionales, como la validación de pagos y la autenticación de usuarios.

Señales de detección

Señales de riesgo incluyen transacciones con montos inusuales, registros de acceso no autenticados a la función 'mf-calculation' y cambios en los montos de pago que no corresponden a las configuraciones previas.

Alcance afectado

Las versiones afectadas son MetForm Pro hasta la 3.9.7. La versión 3.9.8 y posteriores no presentan esta vulnerabilidad. No se han confirmado casos en instalaciones que no utilicen este plugin.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

essential-chat-support

Essential Chat Support <= 1.0.1 - Missing Authorization to Unauthenticated Settings Reset via 'ecs_reset_settings' Parameter

CRITICAL PLUGIN

form-notify

Receive Notifications After Form Submitting – Form Notify for Any Forms <= 1.1.10 - Unauthenticated Authentication Bypass via LINE OAuth Callback

MEDIUM PLUGIN

smartcat-wpml

Smartcat Translator for WPML <= 3.1.77 - Missing Authorization to Unauthenticated Plugin Settings Update

CRITICAL PLUGIN

burst-statistics

Burst Statistics 3.4.0 - 3.4.1.1 - Authentication Bypass to Admin Account Takeover

CRITICAL PLUGIN

career-section

Career Section <= 1.7 - Unauthenticated Arbitrary File Upload

HIGH PLUGIN

infusedwoopro

InfusedWoo Pro <= 5.1.2 - Unauthenticated Arbitrary File Read via 'url' Parameter

CRITICAL PLUGIN

infusedwoopro

InfusedWoo Pro <= 5.1.2 - Unauthenticated Missing Authorization to Arbitrary Post Deletion via Multiple Parameters

MEDIUM PLUGIN

user-registration

User Registration & Membership <= 5.1.5 - Unauthenticated Missing Authorization to Admin Approval Bypass via 'action' Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto