Resumen ejecutivo
Se ha identificado un fallo de autorización en el plugin MStore API, afectando a versiones hasta la 4.18.4. Este problema puede permitir accesos no autorizados, impactando la seguridad de las aplicaciones móviles generadas.
Fuente base de datos: Wordfence Intelligence
MStore API – Create Native Android & iOS Apps On The Cloud <= 4.18.4 - Missing Authorization (falta de autorizacion) - version 4.19.0
PLUGIN
MEDIUM
CVE-2026-54817
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
El fallo se origina en la falta de controles adecuados de autorización en el plugin MStore API, lo que expone la superficie de ataque a usuarios malintencionados que pueden intentar acceder a funcionalidades restringidas sin las credenciales apropiadas.
Impacto potencial
La explotación de esta vulnerabilidad podría permitir a un atacante realizar acciones no autorizadas, comprometiendo la integridad de los datos y la confianza del usuario en las aplicaciones móviles. Esto puede resultar en pérdidas económicas y reputacionales para las empresas afectadas.
Vector de explotación
Los atacantes pueden aprovechar este fallo enviando solicitudes maliciosas a la API sin la debida autorización, lo que les permite eludir restricciones de acceso.
Mitigación recomendada
Actualizar el plugin MStore API a la versión 4.19.0 o superior para corregir el fallo. Revisar y reforzar las configuraciones de seguridad de las aplicaciones móviles generadas. Implementar controles adicionales de autorización y autenticación en la API.
Señales de detección
Monitorear los logs de acceso a la API en busca de patrones inusuales de solicitudes que puedan indicar intentos de explotación del fallo.
Alcance afectado
Las versiones afectadas son todas las anteriores a la 4.19.0 del plugin MStore API. No se han confirmado casos en versiones posteriores.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
mstore-api
MStore API <= 4.18.3 - Authenticated (Subscriber+) Insecure Direct Object Reference to Arbitrary User Meta Update
MEDIUM
PLUGIN
mstore-api
MStore API – Create Native Android & iOS Apps On The Cloud <= 4.17.5 - Missing Authorization to Authenticated (Subscriber+) Posts Creation
MEDIUM
PLUGIN
mstore-api
MStore API – Create Native Android & iOS Apps On The Cloud <= 4.17.4 - Unauthenticated Limited Privilege Escalation
MEDIUM
PLUGIN
mstore-api
MStore API – Create Native Android & iOS Apps On The Cloud <= 4.16.4 - Authenticated (Subscriber+) HTML File Upload (Stored Cross-Site Scripting)
MEDIUM
PLUGIN
mstore-api
MStore API <= 4.15.7 - Authenticated (Subscriber+) SQL Injection
MEDIUM
PLUGIN
mstore-api
MStore API – Create Native Android & iOS Apps On The Cloud <= 4.15.3 - Authenticated (Subscriber+) Limited Arbitrary File Upload
HIGH
PLUGIN
mstore-api
MStore API – Create Native Android & iOS Apps On The Cloud <= 4.15.3 - Unauthorized User Registration
HIGH
PLUGIN
mstore-api
MStore API – Create Native Android & iOS Apps On The Cloud <= 4.15.2 - Authentication Bypass to Account Takeover
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto