Fuente base de datos: Wordfence Intelligence

MetForm Pro <= 3.9.7 - Unauthenticated Payment Amount Manipulation via 'mf-calculation' (vulnerabilidad) - version 3.9.8

PLUGIN MEDIUM CVE-2026-1782

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin MetForm Pro (versiones <= 3.9.7) que permite la manipulación no autenticada de montos de pago. Esta brecha de seguridad puede comprometer la integridad de las transacciones y afectar la confianza del cliente.

Contexto técnico

El fallo se origina en un bypass de autenticación que afecta la funcionalidad de cálculo de pagos a través de la función 'mf-calculation'. Los atacantes pueden manipular los montos de pago sin necesidad de autenticación, lo que expone a los sitios a fraudes financieros.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en pérdidas económicas significativas y daños a la reputación del negocio, ya que los usuarios pueden ser inducidos a realizar pagos incorrectos. La seguridad de las transacciones se ve comprometida, lo que puede llevar a una pérdida de confianza por parte de los clientes.

Vector de explotación

Los atacantes pueden explotar este fallo enviando solicitudes manipuladas a la función afectada, lo que les permite alterar los montos de pago sin autenticarse en el sistema.

Mitigación recomendada

Actualizar el plugin MetForm Pro a la versión 3.9.8 o superior para cerrar la vulnerabilidad. Revisar los registros de transacciones para detectar actividades sospechosas relacionadas con montos de pago. Implementar medidas de seguridad adicionales, como la validación de pagos y la autenticación de usuarios.

Señales de detección

Señales de riesgo incluyen transacciones con montos inusuales, registros de acceso no autenticados a la función 'mf-calculation' y cambios en los montos de pago que no corresponden a las configuraciones previas.

Alcance afectado

Las versiones afectadas son MetForm Pro hasta la 3.9.7. La versión 3.9.8 y posteriores no presentan esta vulnerabilidad. No se han confirmado casos en instalaciones que no utilicen este plugin.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

breeze

Breeze Cache <= 2.5.2 - Unauthenticated Exposure of Sensitive Information to an Unauthorized Actor via Crafted Login Cookie

CRITICAL PLUGIN

OTP Login With Phone Number, OTP Verification <= 1.8.60 - Unauthenticated Authentication Bypass via Firebase OTP Verification

MEDIUM PLUGIN

contact-form-7-paypal-add-on

Contact Form 7 – PayPal & Stripe Add-on <= 2.4.9 - Unauthenticated Payment Bypass via Insufficient Verification of Data Authenticity via PayPal IPN Handler ('invoice'/'mc_gross' Verification)

MEDIUM PLUGIN

seo-by-rank-math

Rank Math SEO – AI SEO Tools to Dominate SEO Rankings <= 1.0.271 - Missing Authorization to Unauthenticated Homepage Settings Modification

CRITICAL PLUGIN

wp-travel-pro

WP Travel Pro <= 10.6.0 - Missing Authorization to Unauthenticated Arbitrary User Deletion Including Administrators

MEDIUM PLUGIN

geo-mashup

Geo Mashup <= 1.13.19 - Missing Authorization to Unauthenticated Plugin Settings Disclosure via 'geo_mashup_content' Parameter

MEDIUM PLUGIN

simply-schedule-appointments

Appointment Booking Calendar <= 1.6.11.8 - Missing Authorization to Unauthenticated Arbitrary Modification via Bulk Appointments REST API Endpoint

MEDIUM PLUGIN

wp-promoter

WP Promoter <= 1.3 - Missing Authorization to Unauthenticated Statistics Reset via wpp-reset_stats AJAX Action

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto