Fuente base de datos: Wordfence Intelligence

Complianz – GDPR/CCPA Cookie Consent <= 7.4.5 - Missing Authorization to Unauthenticated Private Post Content Disclosure via Consent Area REST Endpoint en Complianz Gdpr (falta de autorizacion) - version 7.4.6

PLUGIN MEDIUM CVE-2026-4019

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Complianz – GDPR/CCPA que permite la divulgación no autorizada de contenido privado a través de un endpoint REST. Esta falla de autenticación puede comprometer la privacidad de los datos y la seguridad de la información sensible de los usuarios.

Contexto técnico

El fallo se presenta en el endpoint REST del área de consentimiento del plugin, donde se permite el acceso a contenido privado sin requerir autenticación. Esto puede ser explotado por atacantes que buscan acceder a información sensible de publicaciones privadas.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la exposición de contenido privado, afectando la confianza del usuario y la reputación del negocio. Además, puede llevar a incumplimientos normativos relacionados con la protección de datos.

Vector de explotación

Los atacantes pueden enviar solicitudes al endpoint REST del plugin sin autenticarse, lo que les permite acceder a contenido que debería estar restringido.

Mitigación recomendada

Actualizar el plugin Complianz – GDPR/CCPA a la versión 7.4.6 o superior para corregir la vulnerabilidad. Revisar y restringir el acceso a los endpoints REST no autenticados en la configuración del plugin. Implementar medidas de seguridad adicionales, como autenticación multifactor y auditorías regulares de seguridad.

Señales de detección

Monitorear los logs de acceso para detectar solicitudes inusuales al endpoint REST del plugin y verificar configuraciones de acceso que no deberían estar permitidas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 7.4.6. No se han confirmado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

HIGH PLUGIN

updraftplus

UpdraftPlus: WP Backup & Migration Plugin <= 1.26.4 (free) < 2.26.5 (premium) - Unauthenticated Authentication Bypass via UpdraftCentral udrpc

HIGH PLUGIN

updraftplus

UpdraftPlus: WP Backup & Migration Plugin <= 1.26.4 (free) < 2.26.5 (premium) - Unauthenticated Authentication Bypass via UpdraftCentral udrpc

HIGH PLUGIN

6storage-rentals

6Storage Rentals <= 2.22.0 - Unauthenticated Insecure Direct Object Reference to Arbitrary User Disclosure and Modification via 'userId' Parameter

MEDIUM PLUGIN

ad-manager-wd

10WebAdManager <= 1.0.11 - Unauthenticated Arbitrary File Download

HIGH PLUGIN

cf7-insightly

WP Insightly for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms <= 1.1.4 - Unauthenticated PHP Object Injection

HIGH PLUGIN

cf7-active-campaign

Integration for ActiveCampaign and Contact Form 7, WPForms, Elementor, Ninja Forms <= 1.1.1 - Unauthenticated PHP Object Injection

HIGH PLUGIN

cf7-infusionsoft

Integration for Keap/infusionsoft and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms <= 1.2.1 - Unauthenticated PHP Object Injection

HIGH PLUGIN

cf7-zendesk

WP Zendesk for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms <= 1.1.4 - Unauthenticated PHP Object Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto