Fuente base de datos: Wordfence Intelligence

GenerateBlocks <= 2.2.0 - Insecure Direct Object Reference to Authenticated (Contributor+) Sensitive Information Exposure via Dynamic Tag Replacements (Insecure Direct Object Reference (IDOR)) - version 2.2.1

PLUGIN MEDIUM CVE-2026-3454

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin GenerateBlocks, que permite a usuarios autenticados (Contribuyentes y superiores) acceder a información sensible. Esta falla podría comprometer la confidencialidad de datos críticos en el sitio web.

Contexto técnico

La vulnerabilidad se origina en la gestión inadecuada de referencias a objetos, permitiendo a usuarios no autorizados acceder a información sensible a través de reemplazos dinámicos de etiquetas. La exposición se produce en versiones del plugin hasta la 2.2.0.

Impacto potencial

El riesgo asociado a esta vulnerabilidad puede llevar a la filtración de información sensible, afectando la integridad y la confianza del negocio. Una explotación exitosa podría resultar en la divulgación no autorizada de datos críticos de usuarios.

Vector de explotación

La explotación se realiza mediante solicitudes manipuladas que acceden a recursos restringidos, aprovechando la falta de controles adecuados en la validación de acceso.

Mitigación recomendada

Actualizar el plugin GenerateBlocks a la versión 2.2.1 o superior. Revisar los permisos de acceso de los usuarios autenticados para limitar el acceso a información sensible. Implementar medidas de monitoreo para detectar accesos inusuales a datos sensibles.

Señales de detección

Revisar los registros de acceso para identificar patrones de solicitudes inusuales que intenten acceder a información sensible sin la debida autorización.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.2.1 del plugin GenerateBlocks. No se han reportado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

pressprimer-quiz

PressPrimer Quiz <= 2.3.0 - Insecure Direct Object Reference to Authenticated (Custom+) Arbitrary Modification via 'quiz_id', 'item_id', and 'rule_id' Parameters

LOW PLUGIN

userswp

UsersWP <= 1.2.63 - Insecure Direct Object Reference to Authenticated (Editor+) Arbitrary User Avatar/Banner Reset via 'user_id' Parameter

MEDIUM PLUGIN

static-block

Static Block <= 2.2 - Insecure Direct Object Reference to Authenticated (Contributor+) Sensitive Information Disclosure via Shortcode 'id' Attribute

MEDIUM PLUGIN

charitable

Charitable <= 1.8.11.1 - Authenticated (Subscriber+) Insecure Direct Object Reference to Arbitrary Attachment Deletion via 'avatar' Parameter

MEDIUM PLUGIN

klamra-paycal-for-aspaclaria

Klamra Paycal for Aspaclaria <= 1.1.4 - Insecure Direct Object Reference to Authenticated (Subscriber+) Sensitive Information Exposure via 'invoice_id' Parameter

MEDIUM PLUGIN

generateblocks

GenerateBlocks <= 2.1.0 - Authenticated (Contributor+) Information Disclosure

MEDIUM PLUGIN

mp-timetable

Timetable and Event Schedule by MotoPress <= 2.4.16 - Insecure Direct Object Reference to Authenticated (Contributor+) Sensitive Information Exposure via action_get_event_data Function

MEDIUM PLUGIN

display-a-meta-field-as-block

Meta Field Block <= 1.5.1 - Insecure Direct Object Reference to Authenticated (Contributor+) Arbitrary User Meta Exposure

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto