Fuente base de datos: Wordfence Intelligence

Mentoring <= 1.2.8 - Unauthenticated Privilege Escalation in mentoring_process_registration (escalada de privilegios) - version 1.2.9

PLUGIN CRITICAL CVE-2025-13618

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Mentoring (versión <= 1.2.8) que permite la escalada de privilegios sin autenticación. Esto puede comprometer la seguridad operativa de los sitios afectados, permitiendo a atacantes obtener acceso no autorizado.

Contexto técnico

El fallo se encuentra en el proceso de registro del plugin Mentoring, donde un atacante puede explotar la falta de validación de permisos para ejecutar acciones que normalmente requieren privilegios elevados. La superficie de ataque es accesible a través de solicitudes HTTP no autenticadas.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a un atacante obtener control sobre funciones administrativas del sitio, lo que podría resultar en la manipulación de contenido, acceso a datos sensibles o incluso la toma completa del control del sitio. Esto puede tener repercusiones serias en la reputación y la confianza del negocio.

Vector de explotación

Los atacantes pueden enviar solicitudes maliciosas al endpoint del proceso de registro sin necesidad de estar autenticados, lo que les permite ejecutar acciones no autorizadas.

Mitigación recomendada

Actualizar el plugin Mentoring a la versión 1.2.9 o superior para cerrar la vulnerabilidad. Revisar los registros de acceso para identificar actividades sospechosas relacionadas con el proceso de registro. Implementar medidas de seguridad adicionales, como la autenticación de dos factores y la limitación de acceso a áreas administrativas.

Señales de detección

Monitorear logs de acceso en busca de patrones inusuales de solicitudes al proceso de registro del plugin, así como cambios no autorizados en la configuración del sitio.

Alcance afectado

Todas las instalaciones que utilicen el plugin Mentoring en versiones 1.2.8 o anteriores son vulnerables. No se han confirmado casos en versiones posteriores a 1.2.9.

Vulnerabilidades relacionadas

HIGH PLUGIN

wp-business-intelligence-lite

WP Business Intelligence Lite <= 3.2.0 - Authenticated (Subscriber+) Missing Authorization to Privilege Escalation via Arbitrary SQL Modification

HIGH PLUGIN

import-users-from-csv-with-meta

Import and export users and customers <= 2.0.8 - Authenticated (Subscriber+) Privilege Escalation via Multisite Capability Meta Fields

MEDIUM PLUGIN

ameliabooking

Booking for Appointments and Events Calendar – Amelia <= 2.1.2 - Unauthenticated Authorization Bypass via Remote Approval Endpoint

HIGH PLUGIN

latepoint

LatePoint <= 5.4.1 - Authenticated (Agent+) Privilege Escalation to Administrator via 'connect-customer-to-wp-user' Ability

HIGH PLUGIN

highland-software-custom-role-manager

Highland Software Custom Role Manager <= 1.0.0 - Authenticated (Subscriber+) Privilege Escalation

CRITICAL PLUGIN

sendmachine

Sendmachine for WordPress <= 1.0.20 - Unauthenticated SMTP Hijack to Privilege Escalation via manage_admin_requests

HIGH PLUGIN

b-blocks

bBlocks – Essential Gutenberg Blocks & Patterns Collection <= 2.0.31 - Authenticated (Contributor+) Privilege Escalation

HIGH PLUGIN

acymailing

AcyMailing 9.11.0 - 10.8.1 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto