Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Hydra Booking — Appointment Scheduling & Booking Calendar <= 1.1.41 - Missing Authorization (falta de autorizacion) - version 1.1.42

PLUGIN MEDIUM CVE-2026-42675

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Hydra Booking, que afecta a las versiones hasta la 1.1.41. Esta falla podría permitir a un atacante eludir controles de acceso, comprometiendo la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se encuentra en el plugin Hydra Booking, que se utiliza para la programación de citas. La falta de autorización adecuada permite que usuarios no autorizados accedan a funciones restringidas, exponiendo la superficie de ataque a accesos no deseados.

Impacto potencial

El impacto de esta vulnerabilidad puede resultar en la exposición de datos sensibles y la manipulación de citas, afectando la confianza de los usuarios y la integridad del negocio. La severidad de esta falla se clasifica como media con un puntaje CVSS de 5.3.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas que eluden los controles de acceso, lo que les permite acceder a funciones restringidas del plugin.

Mitigación recomendada

Actualizar el plugin Hydra Booking a la versión 1.1.42 o superior. Revisar las configuraciones de permisos y accesos del plugin tras la actualización. Monitorear los logs de acceso para detectar posibles intentos de explotación.

Señales de detección

Buscar en los logs de acceso entradas inusuales o intentos de acceso a funciones restringidas sin la autorización adecuada.

Alcance afectado

Las versiones del plugin Hydra Booking hasta la 1.1.41 están afectadas. No se han confirmado otros escenarios o versiones adicionales.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

hydra-booking

Hydra Booking <= 1.1.38 - Authenticated (Hydra host+) Stored Cross-Site Scripting

Ver ficha
CRITICAL PLUGIN

hydra-booking

Hydra Booking <= 1.1.32 - Unauthenticated Privilege Escalation

Ver ficha
MEDIUM PLUGIN

hydra-booking

Hydra Booking <= 1.1.32 - Authenticated (Custom role+) SQL Injection

Ver ficha
MEDIUM PLUGIN

hydra-booking

Hydra Booking – All in One Appointment Booking System | Appointment Scheduling, Booking Calendar & WooCommerce Bookings <= 1.1.27 - Missing Payment Verification to Unauthenticated Payment Bypass

Ver ficha
MEDIUM PLUGIN

hydra-booking

Hydra Booking – All in One Appointment Booking System | Appointment Scheduling, Booking Calendar & WooCommerce Bookings <= 1.1.27 - Unauthenticated Arbitrary Booking Cancellation via Weak Hash Generation

Ver ficha
HIGH PLUGIN

hydra-booking

Hydra Booking 1.1.0 - 1.1.18 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation via tfhb_reset_password_callback Function

Ver ficha
MEDIUM PLUGIN

hydra-booking

Hydra Booking <= 1.1.9 - Missing Authorization

Ver ficha
MEDIUM PLUGIN

hydra-booking

Hydra Booking <= 1.1.10 - Authenticated (Subscriber+) SQL Injection

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad