Fuente base de datos: Wordfence Intelligence

FireBox Popups <= 3.1.7 - Unauthenticated Sensitive Information Exposure in 'form_id' Parameter (vulnerabilidad) - version 3.1.8

PLUGIN MEDIUM CVE-2026-12120

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin FireBox Popups (versión <= 3.1.7) que permite la exposición no autenticada de información sensible a través del parámetro 'form_id'. Esto puede comprometer la seguridad de los datos de los usuarios y afectar la integridad operativa del sitio.

Contexto técnico

El fallo se origina en un bypass de autenticación que permite a un atacante acceder a información sensible sin necesidad de autenticarse. La superficie de ataque se centra en la manipulación del parámetro 'form_id' en las solicitudes al plugin FireBox Popups.

Impacto potencial

La exposición de información sensible puede llevar a la filtración de datos personales de los usuarios, lo que a su vez podría resultar en problemas legales y de reputación para la organización. El riesgo se clasifica como medio (CVSS 5.3), lo que indica que, aunque no es crítico, debe ser abordado con urgencia.

Vector de explotación

La explotación de esta vulnerabilidad suele realizarse mediante la modificación del parámetro 'form_id' en las solicitudes HTTP dirigidas al plugin, lo que permite a un atacante obtener información sensible sin autenticación.

Mitigación recomendada

Actualizar el plugin FireBox Popups a la versión 3.1.8 o superior para corregir la vulnerabilidad. Revisar los registros de acceso para detectar posibles intentos de explotación. Implementar medidas de seguridad adicionales, como la validación de entradas y la restricción de acceso a información sensible.

Señales de detección

Señales de riesgo incluyen accesos inusuales al parámetro 'form_id' en los logs de solicitudes, así como patrones de acceso que no corresponden a usuarios autenticados.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin FireBox Popups anteriores a la 3.1.8. No se han confirmado casos en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

eventkoi-lite

Event Koi Lite <= 1.3.13.1 - Missing Authorization to Unauthenticated Sensitive Information Exposure via REST API Endpoints

MEDIUM PLUGIN

simple-membership

Simple Membership <= 4.7.5 - Missing Authorization to Unauthenticated Arbitrary Member Account Deactivation via Forged Stripe 'charge.refunded' Webhook

MEDIUM PLUGIN

video-conferencing-with-zoom-api

Video Conferencing with Zoom <= 4.6.7 - Missing Authorization to Unauthenticated Zoom SDK Credential Exposure via 'get_auth' AJAX Action

MEDIUM PLUGIN

abandoned-contact-form-7

Abandoned Contact Form 7 <= 2.2 - Missing Authorization to Unauthenticated Arbitrary Post Deletion via 'recover_id' Parameter

HIGH THEME

nifty

Nifty <= 1.4.1 - Unauthenticated PHP Object Injection

HIGH PLUGIN

jet-engine

JetEngine <= 3.8.10 - Unauthenticated PHP Object Injection

HIGH PLUGIN

updraftplus

UpdraftPlus: WP Backup & Migration Plugin <= 1.26.4 (free) < 2.26.5 (premium) - Unauthenticated Authentication Bypass via UpdraftCentral udrpc

HIGH PLUGIN

updraftplus

UpdraftPlus: WP Backup & Migration Plugin <= 1.26.4 (free) < 2.26.5 (premium) - Unauthenticated Authentication Bypass via UpdraftCentral udrpc

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto