Saltar al contenido

Fuente base de datos: Wordfence Intelligence

LatePoint <= 5.6.3 - Authenticated (Custom+) Privilege Escalation to Administrator via 'order[customer_id]' Parameter (escalada de privilegios) - version 5.6.4

PLUGIN HIGH CVE-2026-13228

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin LatePoint, que permite la escalada de privilegios a administrador mediante el parámetro 'order[customer_id]'. Esta falla puede comprometer la seguridad del sitio, permitiendo a usuarios autenticados obtener acceso no autorizado a funciones administrativas.

Contexto técnico

La vulnerabilidad se manifiesta en el plugin LatePoint, específicamente en versiones hasta la 5.6.3. El vector de ataque se basa en la manipulación del parámetro 'order[customer_id]', lo que permite a un usuario autenticado escalar sus privilegios a nivel de administrador.

Impacto potencial

El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante con acceso autenticado realizar acciones administrativas, potencialmente comprometiendo datos sensibles y la integridad del sitio. Esto puede resultar en pérdidas económicas y de confianza por parte de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la modificación del parámetro 'order[customer_id]' en solicitudes HTTP, lo que permite a un atacante elevar su nivel de acceso sin necesidad de credenciales administrativas.

Mitigación recomendada

Actualizar el plugin LatePoint a la versión 5.6.4 o superior. Revisar los registros de acceso para identificar actividades sospechosas de escalada de privilegios. Implementar controles de acceso adicionales para usuarios autenticados.

Señales de detección

Señales observables incluyen cambios inusuales en los niveles de acceso de los usuarios y entradas anómalas en los registros de actividad del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 5.6.4 del plugin LatePoint. No se han confirmado casos en versiones posteriores.

Vulnerabilidades relacionadas

HIGH PLUGIN

latepoint

LatePoint <= 5.5.1 - Authenticated (Agent+) Privilege Escalation to Administrator via IDOR in OsOrdersController::create_or_update + Unauthenticated Customer-Cabinet Password Reset

HIGH PLUGIN

latepoint

LatePoint – Calendar Booking Plugin for Appointments and Events <= 5.5.1 - Authenticated (Contributor+) Privilege Escalation

HIGH PLUGIN

latepoint

LatePoint <= 5.4.1 - Authenticated (Agent+) Privilege Escalation to Administrator via 'connect-customer-to-wp-user' Ability

HIGH PLUGIN

latepoint

LatePoint <= 5.2.7 - Authenticated (Agent+) Privilege Escalation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad