Fuente base de datos: Wordfence Intelligence

GenerateBlocks <= 2.2.0 - Insecure Direct Object Reference to Authenticated (Contributor+) Sensitive Information Exposure via Dynamic Tag Replacements (Insecure Direct Object Reference (IDOR)) - version 2.2.1

PLUGIN MEDIUM CVE-2026-3454

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin GenerateBlocks, que permite a usuarios autenticados (Contribuyentes y superiores) acceder a información sensible. Esta falla podría comprometer la confidencialidad de datos críticos en el sitio web.

Contexto técnico

La vulnerabilidad se origina en la gestión inadecuada de referencias a objetos, permitiendo a usuarios no autorizados acceder a información sensible a través de reemplazos dinámicos de etiquetas. La exposición se produce en versiones del plugin hasta la 2.2.0.

Impacto potencial

El riesgo asociado a esta vulnerabilidad puede llevar a la filtración de información sensible, afectando la integridad y la confianza del negocio. Una explotación exitosa podría resultar en la divulgación no autorizada de datos críticos de usuarios.

Vector de explotación

La explotación se realiza mediante solicitudes manipuladas que acceden a recursos restringidos, aprovechando la falta de controles adecuados en la validación de acceso.

Mitigación recomendada

Actualizar el plugin GenerateBlocks a la versión 2.2.1 o superior. Revisar los permisos de acceso de los usuarios autenticados para limitar el acceso a información sensible. Implementar medidas de monitoreo para detectar accesos inusuales a datos sensibles.

Señales de detección

Revisar los registros de acceso para identificar patrones de solicitudes inusuales que intenten acceder a información sensible sin la debida autorización.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.2.1 del plugin GenerateBlocks. No se han reportado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

app-builder

App Builder <= 5.5.10 - Insecure Direct Object Reference to Authenticated (Subscriber+) Arbitrary User Avatar Modification via 'user_id' Parameter

MEDIUM PLUGIN

kivicare-clinic-management-system

KiviCare – Clinic & Patient Management System (EHR) <= 4.2.1 - Authenticated (Subscriber+) Insecure Direct Object Reference

MEDIUM PLUGIN

booking-calendar-contact-form

Booking Calendar Contact Form <= 1.2.63 - Authenticated (Subscriber+) Insecure Direct Object Reference to Calendar Takeover

MEDIUM PLUGIN

eventprime-event-calendar-management

EventPrime – Events Calendar, Bookings and Tickets <= 4.3.0.0 - Authenticated (Subscriber+) Insecure Direct Object Reference

MEDIUM PLUGIN

fluent-boards

FluentBoards – Project Management, Task Management, Goal Tracking, Kanban Board, and, Team Collaboration <= 1.91.2 - Authenticated (Board Member+) Insecure Direct Object Reference

MEDIUM PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.1 - Authenticated (Subscriber+) Sensitive Information Exposure via Insecure Direct Object Reference

MEDIUM PLUGIN

tutor

Tutor LMS <= 3.9.7 - Authenticated (Subscriber+) Insecure Direct Object Reference to Arbitrary Course Content Modification

MEDIUM PLUGIN

mstore-api

MStore API <= 4.18.3 - Authenticated (Subscriber+) Insecure Direct Object Reference to Arbitrary User Meta Update

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto