Fuente base de datos: Wordfence Intelligence

GenerateBlocks <= 2.1.0 - Authenticated (Contributor+) Information Disclosure (divulgacion de informacion) - version 2.1.1

PLUGIN MEDIUM CVE-2026-48877

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de divulgación de información en el plugin GenerateBlocks hasta la versión 2.1.0. Esta falla permite a usuarios autenticados con rol de contribuidor o superior acceder a información sensible, lo que puede comprometer la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se presenta en el plugin GenerateBlocks, permitiendo a usuarios autenticados acceder a información que debería estar restringida. La superficie de ataque se centra en la interacción de los usuarios con el plugin, donde la configuración de permisos no se gestiona adecuadamente.

Impacto potencial

El acceso no autorizado a información sensible puede llevar a la exposición de datos críticos, afectando la integridad y la confianza en el sitio. Esto podría traducirse en pérdidas económicas y reputacionales si se utiliza para actividades maliciosas.

Vector de explotación

La explotación de esta vulnerabilidad requiere que un usuario autenticado con rol de contribuidor o superior interactúe con el plugin de manera que se revele información restringida.

Mitigación recomendada

Actualizar el plugin GenerateBlocks a la versión 2.1.1 o superior. Revisar y ajustar los permisos de usuario para limitar el acceso a información sensible. Realizar auditorías de seguridad periódicas para identificar configuraciones incorrectas.

Señales de detección

Revisar los logs de acceso para detectar intentos inusuales de acceso a información restringida por parte de usuarios autenticados.

Alcance afectado

Las versiones del plugin GenerateBlocks hasta la 2.1.0 son vulnerables. No se han reportado casos de explotación en versiones superiores a la 2.1.1.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

soliloquy-lite

Slider by Soliloquy <= 2.8.1 - Authenticated (Subscriber+) Information Disclosure via REST API Endpoint

MEDIUM PLUGIN

kirki

Kirki <= 6.0.6 - Missing Authorization to Authenticated (Subscriber+) Sensitive Form Submission Data Exposure via 'kirki_wp_admin_get_apis' Action

MEDIUM PLUGIN

broadstreet

Broadstreet <= 1.53.1 - Authenticated (Subscriber+) Information Disclosure

MEDIUM PLUGIN

forminator

Forminator Forms <= 1.51.1 - Missing Authorization to Authenticated (Subscriber+) Sensitive Information Disclosure via 'forminator_action' Parameter

MEDIUM PLUGIN

generateblocks

GenerateBlocks <= 2.2.0 - Insecure Direct Object Reference to Authenticated (Contributor+) Sensitive Information Exposure via Dynamic Tag Replacements

MEDIUM PLUGIN

katalogportal-pdf-sync

Katalogportal-pdf-sync Widget <= 1.0.0 - Missing Authorization to Authenticated (Subscriber+) Information Disclosure via 'katalogportal_shortcodePrinter' AJAX Action

MEDIUM PLUGIN

mainwp-child-reports

MainWP Child Reports <= 2.2.6 - Missing Authorization to Authenticated (Subscriber+) Information Disclosure via Heartbeat API

MEDIUM PLUGIN

ninja-forms

Ninja Forms <= 3.14.1 - Authenticated (Contributor+) Sensitive Information Disclosure via Block Editor Token

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto