Fuente base de datos: Wordfence Intelligence

Independent Analytics <= 2.14.9 - Unauthenticated Server-Side Request Forgery via Tracking Route (Server-Side Request Forgery (SSRF)) - version 2.14.10

PLUGIN MEDIUM CVE-2026-5737

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el plugin Independent Analytics, afectando versiones hasta 2.14.9. Esta falla permite a un atacante no autenticado realizar solicitudes maliciosas desde el servidor, comprometiendo la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se presenta en la ruta de seguimiento del plugin, lo que permite que un atacante envíe solicitudes no autorizadas a otros servicios internos o externos, aprovechando la configuración del servidor. Esto se traduce en un vector de ataque que no requiere autenticación para ser explotado.

Impacto potencial

El impacto de esta vulnerabilidad puede resultar en la exposición de datos sensibles o en la posibilidad de que un atacante realice acciones no autorizadas en el servidor. Aunque la severidad se clasifica como media (CVSS 6.5), es crucial abordar esta falla para evitar compromisos de seguridad más graves.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante el envío de solicitudes maliciosas a través de la ruta de seguimiento del plugin, lo que podría permitir la interacción con servicios internos del servidor.

Mitigación recomendada

Actualizar el plugin Independent Analytics a la versión 2.14.10 o superior. Revisar y ajustar la configuración del servidor para limitar el acceso a servicios internos. Implementar medidas de seguridad adicionales, como firewalls y monitorización de tráfico.

Señales de detección

Señales de posible explotación incluyen registros de solicitudes inusuales a rutas internas o respuestas inesperadas del servidor. Monitorizar logs de acceso puede ayudar a identificar patrones sospechosos.

Alcance afectado

Las versiones afectadas de Independent Analytics son todas las anteriores a la 2.14.10. No se han confirmado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

fluent-crm

FluentCRM <= 2.9.87 - Unauthenticated Blind Server-Side Request Forgery via 'SubscribeURL' Parameter

MEDIUM PLUGIN

nexa-blocks

Nexa Blocks <= 1.1.1 - Unauthenticated Blind Server-Side Request Forgery via 'demo_json_file' Parameter

MEDIUM PLUGIN

gutenverse

Gutenverse – Ultimate WordPress FSE Blocks Addons & Ecosystem <= 3.5.3 - Authenticated (Contributor+) Server-Side Request Forgery via 'imageUrl'

MEDIUM THEME

ona

Ona <= 1.26 - Authenticated (Administrator+) Blind Server-Side Request Forgery via 'download_link' Parameter

HIGH PLUGIN

pixelyoursite-pro

PixelYourSite Pro <= 12.5.0.1 - Unauthenticated Blind Server-Side Request Forgery via 'urls[]' Parameter

HIGH PLUGIN

royal-elementor-addons

Royal Addons for Elementor <= 1.7.1057 - Authenticated (Contributor+) Server-Side Request Forgery via CSV URL Parameter

MEDIUM PLUGIN

independent-analytics

Freemius <= 2.10.1 - Reflected DOM-Based Cross-Site Scripting via url Parameter

MEDIUM PLUGIN

userswp

UsersWP <= 1.2.58 - Authenticated (Subscriber+) Server-Side Request Forgery via 'uwp_crop' Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto