Fuente base de datos: Wordfence Intelligence

Liaison Site Prober <= 1.2.1 - Missing Authorization to Unauthenticated Information Exposure in '/logs' REST API Endpoint (falta de autorizacion) - version 1.2.2

PLUGIN MEDIUM CVE-2026-3569

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Liaison Site Prober (versiones <= 1.2.1) que permite la exposición de información sin autorización a través de su endpoint REST API en '/logs'. Esta falla puede comprometer la seguridad de la información sensible del sitio web.

Contexto técnico

El fallo se presenta en el componente Liaison Site Prober, donde el endpoint REST API '/logs' no requiere autenticación, permitiendo a usuarios no autorizados acceder a información potencialmente sensible. Esto se clasifica como un bypass de autenticación.

Impacto potencial

La exposición de información sin autorización puede llevar a la filtración de datos sensibles, afectando la privacidad de los usuarios y la integridad del negocio. Un ataque exitoso podría resultar en daños a la reputación y posibles sanciones regulatorias.

Vector de explotación

El vector de explotación se basa en la capacidad de un atacante para realizar solicitudes al endpoint '/logs' sin necesidad de autenticación, lo que permite acceder a información confidencial.

Mitigación recomendada

Actualizar el plugin Liaison Site Prober a la versión 1.2.2 o superior para corregir la vulnerabilidad. Revisar y restringir el acceso a los endpoints REST API sensibles mediante autenticación adecuada. Implementar medidas de monitoreo para detectar accesos no autorizados a endpoints críticos.

Señales de detección

Revisar los logs de acceso para detectar solicitudes al endpoint '/logs' sin autenticación, así como cualquier acceso inusual a información sensible.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.2.2 del plugin Liaison Site Prober. No se han confirmado otros componentes o escenarios relacionados.

Vulnerabilidades relacionadas

HIGH PLUGIN

drag-and-drop-file-upload-for-contact-form-7

Drag and Drop File Upload for Contact Form 7 <= 1.1.3 - Unauthenticated Arbitrary File Upload via sanitize_file_name Bypass

MEDIUM PLUGIN

wp-books-gallery

WP Books Gallery <= 4.8.0 - Missing Authorization to Unauthenticated Settings Update via 'permalink_structure' Parameter

CRITICAL PLUGIN

breeze

Breeze Cache <= 2.4.4 - Unauthenticated Arbitrary File Upload via fetch_gravatar_from_remote

HIGH PLUGIN

everest-forms

Everest Forms <= 3.4.4 - Unauthenticated Arbitrary File Read and Deletion via Upload Field 'old_files' Parameter

MEDIUM PLUGIN

responsive-block-editor-addons

Responsive Blocks <= 2.2.0 - Unauthenticated Open Email Relay via REST API 'email_to' Parameter

HIGH PLUGIN

drag-and-drop-multiple-file-upload-contact-form-7

Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.9.6 - Unauthenticated Limited Arbitrary File Read via mfile Field

HIGH PLUGIN

drag-and-drop-multiple-file-upload-contact-form-7

Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.9.6 - Unauthenticated Arbitrary File Upload via Non-ASCII Filename Blacklist Bypass

HIGH PLUGIN

easy-appointments

Easy Appointments <= 3.12.21 - Unauthenticated Sensitive Information Exposure via REST API

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto