Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Broadstreet <= 1.53.1 - Authenticated (Subscriber+) Information Disclosure (divulgacion de informacion) - version 1.53.2

PLUGIN MEDIUM CVE-2025-9987

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Broadstreet (versiones <= 1.53.1) que permite la divulgación de información sensible a usuarios autenticados con rol de suscriptor o superior. Esta brecha de seguridad, clasificada como de severidad media, puede comprometer datos críticos y afectar la integridad operativa del sitio.

Contexto técnico

El fallo se encuentra en la gestión de permisos dentro del plugin Broadstreet, permitiendo a usuarios autenticados acceder a información que debería estar restringida. La superficie de ataque se centra en la interacción de los usuarios con ciertas funciones del plugin que no validan adecuadamente los permisos.

Impacto potencial

La divulgación de información sensible puede llevar a la exposición de datos personales o estratégicos, lo que podría resultar en daños a la reputación de la organización y posibles implicaciones legales. Además, la integridad de los datos en el sitio puede verse comprometida, afectando la confianza de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo a funciones específicas del plugin mediante cuentas de usuario autenticadas que tienen permisos inadecuados para visualizar información restringida.

Mitigación recomendada

Actualizar el plugin Broadstreet a la versión 1.53.2 o superior para cerrar la vulnerabilidad. Revisar y ajustar los permisos de usuario en el sitio para asegurar que solo los roles adecuados tengan acceso a información sensible. Realizar auditorías de seguridad periódicas para identificar y mitigar otros posibles fallos en el sistema.

Señales de detección

Monitorear los logs de acceso para detectar intentos inusuales de acceso a información sensible por parte de usuarios autenticados. Revisar configuraciones de permisos en el plugin para asegurar que estén correctamente establecidos.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Broadstreet hasta la 1.53.1. La versión 1.53.2 ya incluye la corrección. No se han reportado otros escenarios de explotación fuera de esta configuración.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

broadstreet

Broadstreet <= 1.53.1 - Authenticated (Admin+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

broadstreet

Broadstreet <= 1.53.1 - Missing Authorization to Authenticated (Subscriber+) Advertiser Creation

Ver ficha
MEDIUM PLUGIN

forminator

Forminator Forms <= 1.51.1 - Missing Authorization to Authenticated (Subscriber+) Sensitive Information Disclosure via 'forminator_action' Parameter

Ver ficha
MEDIUM PLUGIN

katalogportal-pdf-sync

Katalogportal-pdf-sync Widget <= 1.0.0 - Missing Authorization to Authenticated (Subscriber+) Information Disclosure via 'katalogportal_shortcodePrinter' AJAX Action

Ver ficha
MEDIUM PLUGIN

mainwp-child-reports

MainWP Child Reports <= 2.2.6 - Missing Authorization to Authenticated (Subscriber+) Information Disclosure via Heartbeat API

Ver ficha
MEDIUM PLUGIN

ninja-forms

Ninja Forms <= 3.14.1 - Authenticated (Contributor+) Sensitive Information Disclosure via Block Editor Token

Ver ficha
MEDIUM WORDPRESS

wp-core

WordPress <= 6.9.1 - Missing Authorization to Authenticated (Author+) Sensitive Information Disclosure via query-attachments AJAX Endpoint

Ver ficha
MEDIUM PLUGIN

classified-listing

Classified Listing – AI-Powered Classified ads & Business Directory Plugin <= 5.3.4 - Authenticated (Subscriber+) Sensitive Data Exposure

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad