Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Wishlist Member <= 3.30.1 - Missing Authorization to Authenticated (Subscriber+) API Secret Key Disclosure and Privilege Escalation via 'wlm3_get_screen' AJAX action en Wishlist Member X (escalada de privilegios) - version 3.31.0

PLUGIN HIGH CVE-2026-6419

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Wishlist Member, que permite la divulgación de claves API y la escalación de privilegios para usuarios autenticados. Esta falla puede comprometer la seguridad de la instalación y permitir accesos no autorizados a funciones restringidas.

Contexto técnico

La vulnerabilidad se encuentra en la acción AJAX 'wlm3_get_screen', donde usuarios con rol de suscriptor o superior pueden acceder a claves secretas de la API sin la autorización adecuada. Esto se debe a una falta de control en los permisos de acceso, lo que expone la superficie de ataque a usuarios malintencionados.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante obtener información sensible y potencialmente escalar sus privilegios, afectando la integridad y confidencialidad de los datos en la plataforma. Esto podría resultar en accesos no autorizados a funciones administrativas y manipulación de datos.

Vector de explotación

La explotación se realiza mediante la invocación de la acción AJAX 'wlm3_get_screen' por parte de un usuario autenticado, lo que permite la divulgación de información crítica sin las debidas restricciones de permisos.

Mitigación recomendada

Actualizar el plugin Wishlist Member a la versión 3.31.0 o superior para corregir la vulnerabilidad. Revisar y ajustar los permisos de acceso de los usuarios para limitar el acceso a funciones críticas. Implementar medidas de monitoreo para detectar accesos inusuales a la API.

Señales de detección

Monitorizar los registros de acceso para identificar llamadas sospechosas a la acción AJAX 'wlm3_get_screen' y cualquier acceso no autorizado a las claves de la API.

Alcance afectado

Las versiones afectadas son Wishlist Member hasta la 3.30.1. Se recomienda verificar si se utilizan versiones anteriores o si hay instalaciones con configuraciones similares que puedan estar expuestas.

Vulnerabilidades relacionadas

HIGH PLUGIN

wishlist-member-x

Wishlist Member <= 3.30.1 - Missing Authorization to Authenticated (Subscriber+) API Secret Key Disclosure and Privilege Escalation via 'wlm3_export_settings' AJAX Action

Ver ficha
HIGH PLUGIN

wishlist-member-x

WishList Member X < 3.26.7 - Authenticated (Subscriber+) Privilege Escalation

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad