Fuente base de datos: Wordfence Intelligence

Frontend Admin by DynamiApps <= 3.29.2 - Missing Authorization to Authenticated (Subscriber+) Account Takeover via 'user_id' URL Query Parameter en ACF Frontend Form Element (falta de autorizacion) - version 3.29.3

PLUGIN HIGH CVE-2026-7802

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin ACF Frontend Admin, que permite la toma de control de cuentas de usuarios autenticados mediante el parámetro 'user_id' en la URL. Esta falla de autorización puede comprometer la seguridad de las cuentas de usuario y la integridad del sitio.

Contexto técnico

El fallo se origina en la falta de verificación de permisos para los usuarios autenticados, específicamente en versiones del plugin ACF Frontend Admin hasta la 3.29.2. Los atacantes pueden manipular el parámetro 'user_id' en las solicitudes URL para acceder a cuentas de otros usuarios con privilegios similares o superiores.

Impacto potencial

El impacto de esta vulnerabilidad puede resultar en la toma de control de cuentas de usuario, lo que podría llevar a la exposición de datos sensibles y a la modificación no autorizada de contenido. Esto afecta la confianza de los usuarios y puede tener repercusiones legales y financieras para la organización.

Vector de explotación

La explotación se realiza mediante la modificación del parámetro 'user_id' en la URL, permitiendo a un atacante autenticado acceder a la cuenta de otro usuario sin autorización adecuada.

Mitigación recomendada

Actualizar el plugin ACF Frontend Admin a la versión 3.29.3 o superior para corregir la vulnerabilidad. Revisar los registros de acceso para identificar posibles accesos no autorizados a cuentas de usuario. Implementar controles adicionales de autorización en el código del plugin, si es posible.

Señales de detección

Señales de riesgo incluyen intentos de acceso a cuentas de usuario con diferentes 'user_id' en los logs de acceso y cambios inusuales en las cuentas de usuario.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.29.3 del plugin ACF Frontend Admin. No se han confirmado otros escenarios de explotación fuera de este contexto.

Vulnerabilidades relacionadas

HIGH PLUGIN

acf-frontend-form-element

Frontend Admin by DynamiApps <= 3.29.2 - Unauthenticated Privilege Escalation via Form Configuration Injection

HIGH PLUGIN

acf-frontend-form-element

Frontend Admin by DynamiApps <= 3.28.36 - Unauthenticated Privilege Escalation via Edit User Form

HIGH PLUGIN

acf-frontend-form-element

Frontend Admin by DynamiApps <= 3.28.31 - Authenticated (Editor+) PHP Object Injection via 'post_content' of Admin Form Posts

CRITICAL PLUGIN

acf-frontend-form-element

Frontend Admin by DynamiApps <= 3.28.29 - Unauthenticated Privilege Escalation to Administrator via Role Form Field

HIGH PLUGIN

acf-frontend-form-element

Frontend Admin by DynamiApps <= 3.28.23 - Unauthenticated Stored Cross-Site Scripting via 'update_field'

CRITICAL PLUGIN

acf-frontend-form-element

Frontend Admin by DynamiApps <= 3.28.25 - Missing Authorization to Unauthenticated Arbitrary Data Deletion via 'delete post' Form Element

CRITICAL PLUGIN

acf-frontend-form-element

Frontend Admin by DynamiApps <= 3.28.20 - Unauthenticated Arbitrary Options Update

MEDIUM PLUGIN

acf-frontend-form-element

Frontend Admin by DynamiApps <= 3.28.3 - Authenticated (Subscriber+) SQL Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto