Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Broadstreet <= 1.53.1 - Authenticated (Subscriber+) Information Disclosure (divulgacion de informacion) - version 1.53.2

PLUGIN MEDIUM CVE-2025-9987

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Broadstreet (versiones <= 1.53.1) que permite la divulgación de información sensible a usuarios autenticados con rol de suscriptor o superior. Esta brecha de seguridad, clasificada como de severidad media, puede comprometer datos críticos y afectar la integridad operativa del sitio.

Contexto técnico

El fallo se encuentra en la gestión de permisos dentro del plugin Broadstreet, permitiendo a usuarios autenticados acceder a información que debería estar restringida. La superficie de ataque se centra en la interacción de los usuarios con ciertas funciones del plugin que no validan adecuadamente los permisos.

Impacto potencial

La divulgación de información sensible puede llevar a la exposición de datos personales o estratégicos, lo que podría resultar en daños a la reputación de la organización y posibles implicaciones legales. Además, la integridad de los datos en el sitio puede verse comprometida, afectando la confianza de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo a funciones específicas del plugin mediante cuentas de usuario autenticadas que tienen permisos inadecuados para visualizar información restringida.

Mitigación recomendada

Actualizar el plugin Broadstreet a la versión 1.53.2 o superior para cerrar la vulnerabilidad. Revisar y ajustar los permisos de usuario en el sitio para asegurar que solo los roles adecuados tengan acceso a información sensible. Realizar auditorías de seguridad periódicas para identificar y mitigar otros posibles fallos en el sistema.

Señales de detección

Monitorear los logs de acceso para detectar intentos inusuales de acceso a información sensible por parte de usuarios autenticados. Revisar configuraciones de permisos en el plugin para asegurar que estén correctamente establecidos.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Broadstreet hasta la 1.53.1. La versión 1.53.2 ya incluye la corrección. No se han reportado otros escenarios de explotación fuera de esta configuración.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

revslider

Slider Revolution <= 7.0.10 - Authenticated (Subscriber+) Sensitive Information Disclosure

Ver ficha
MEDIUM PLUGIN

alba-board

Alba Board <= 2.1.3 - Missing Authorization to Authenticated (Subscriber+) Sensitive Information Disclosure via 'card_id' Parameter

Ver ficha
MEDIUM PLUGIN

feedzy-rss-feeds

RSS Aggregator by Feedzy <= 5.1.7 - Missing Authorization to Authenticated (Contributor+) Import Job Creation, Execution, Purge, Log Clearing, and Information Disclosure via Multiple AJAX Sub-Actions

Ver ficha
MEDIUM PLUGIN

page-list

Page-list <= 6.2 - Missing Authorization to Authenticated (Contributor+) Sensitive Information Disclosure via Shortcode Attributes

Ver ficha
MEDIUM PLUGIN

generateblocks

GenerateBlocks <= 2.1.0 - Authenticated (Contributor+) Information Disclosure

Ver ficha
MEDIUM PLUGIN

soliloquy-lite

Slider by Soliloquy <= 2.8.1 - Authenticated (Subscriber+) Information Disclosure via REST API Endpoint

Ver ficha
MEDIUM PLUGIN

broadstreet

Broadstreet <= 1.52.2 - Authenticated (Subscriber+) Private Post Meta Disclosure via get_sponsored_meta

Ver ficha
MEDIUM PLUGIN

kirki

Kirki <= 6.0.6 - Missing Authorization to Authenticated (Subscriber+) Sensitive Form Submission Data Exposure via 'kirki_wp_admin_get_apis' Action

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad