Fuente base de datos: Wordfence Intelligence

WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible <= 6.7.25 - Authenticated (Vendor+) Insecure Direct Object Reference to Arbitrary User Deletion en WC Frontend Manager - version 6.7.26

PLUGIN HIGH CVE-2026-2554

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WCFM – Frontend Manager para WooCommerce, que permite la eliminación no autorizada de usuarios. Esta falla, clasificada como una referencia insegura a objetos, puede comprometer la integridad de la gestión de usuarios en tiendas online, afectando gravemente la operación del negocio.

Contexto técnico

El fallo se encuentra en el plugin WCFM – Frontend Manager, específicamente en versiones anteriores a la 6.7.26. La superficie de ataque se presenta a través de solicitudes autenticadas (Vendor+), donde un atacante puede manipular parámetros para eliminar arbitrariamente usuarios del sistema.

Impacto potencial

El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante eliminar cuentas de usuario, lo que puede resultar en pérdida de datos y desconfianza por parte de los clientes. Esto podría afectar la reputación del negocio y su operativa diaria, especialmente en entornos donde la gestión de usuarios es crítica.

Vector de explotación

La explotación se realiza mediante el envío de solicitudes manipuladas a la API del plugin, aprovechando la falta de validación adecuada en las referencias a objetos.

Mitigación recomendada

Actualizar el plugin WCFM – Frontend Manager a la versión 6.7.26 o superior. Revisar los registros de actividad de usuarios para detectar accesos no autorizados. Implementar controles adicionales en la gestión de permisos para los roles de usuario.

Señales de detección

Señales de alerta incluyen registros de eliminación de usuarios no solicitadas o accesos inusuales a la funcionalidad de gestión de usuarios del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 6.7.26. No se han confirmado casos en versiones posteriores o en otras configuraciones del plugin.

Vulnerabilidades relacionadas

HIGH PLUGIN

wc-frontend-manager

WCFM - WooCommerce Frontend Manager <= 6.7.25 - Insecure Direct Object References to Autenticated (Vendor+) Arbitrary Post/Product Manipulation

HIGH PLUGIN

wc-frontend-manager

WCFM - WooCommerce Frontend Manager <= 6.7.24 - Authenticated (Shop Manager+) Arbitrary Options Update

MEDIUM PLUGIN

wc-frontend-manager

WCFM – Frontend Manager for WooCommerce <= 6.7.24 - Missing Authorization

MEDIUM PLUGIN

wc-frontend-manager

WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible <= 6.7.16 - Missing Authorization to Unauthenticated Plugin Settings Modification

HIGH PLUGIN

wc-frontend-manager

WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible <= 6.7.12 - Insecure Direct Object Reference to Account Takeover/Privilege Escalation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto