Fuente base de datos: Wordfence Intelligence

Debug Log Manager <= 2.5.0 - Unauthenticated Improper Output Neutralization for Logs via log_js_errors AJAX Action (vulnerabilidad) - version 2.5.1

PLUGIN MEDIUM CVE-2026-9016

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Debug Log Manager, que permite la neutralización inadecuada de la salida de logs a través de la acción AJAX log_js_errors. Esto puede permitir a atacantes no autenticados acceder a información sensible, afectando la seguridad operativa del sitio.

Contexto técnico

El fallo se encuentra en el plugin Debug Log Manager en versiones hasta la 2.5.0, donde la falta de validación adecuada en la salida de logs expone datos a través de un vector de ataque AJAX. Esto significa que cualquier usuario no autenticado puede ejecutar la acción log_js_errors y obtener información sensible almacenada en los logs.

Impacto potencial

El impacto de esta vulnerabilidad es medio, con un CVSS de 5.3. Un atacante podría acceder a información sensible, lo que podría comprometer la integridad del sistema y permitir ataques adicionales. Esto puede resultar en pérdida de datos o acceso no autorizado a funcionalidades críticas del sitio.

Vector de explotación

La explotación se realiza mediante el envío de solicitudes AJAX a la acción log_js_errors, sin necesidad de autenticación, lo que facilita el acceso a los logs del sistema.

Mitigación recomendada

Actualizar el plugin Debug Log Manager a la versión 2.5.1 o superior para cerrar la vulnerabilidad. Revisar los logs de actividad para detectar accesos no autorizados o inusuales. Implementar medidas de seguridad adicionales, como la restricción de acceso a los logs sensibles.

Señales de detección

Se deben monitorizar los logs del servidor en busca de solicitudes AJAX sospechosas a la acción log_js_errors y revisar configuraciones del plugin que puedan haber sido alteradas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.5.1 del plugin Debug Log Manager. No se han reportado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wp-google-maps

WP Go Maps < 10.0.10 - Unauthenticated Sensitive Information Disclosure via Datatables AJAX Fallback

HIGH PLUGIN

advanced-google-recaptcha

WP Captcha PRO <= 5.38 - Authenticated (Subscriber+) Authentication Bypass via Temporary Login Link

MEDIUM PLUGIN

event-monster

Event Monster <= 2.1.0 - Unauthenticated Insufficient Verification of Data Authenticity to Payment Bypass via em_capture_payment AJAX Action

MEDIUM PLUGIN

learnpress

LearnPress <= 4.3.6 - Unauthenticated Sensitive Information Exposure via 'c_status' and 'return_type' Parameters

MEDIUM PLUGIN

essential-addons-for-elementor-lite

Essential Addons for Elementor <= 6.6.4 - Missing Authorization to Unauthenticated Information Exposure via 'load_more' AJAX Handler

MEDIUM PLUGIN

mappress-google-maps-for-wordpress

MapPress Maps for WordPress <= 2.96.6 - Unauthenticated Insecure Direct Object Reference via REST API Endpoints

HIGH PLUGIN

sp-client-document-manager

SP Project & Document Manager <= 4.71 - Missing Authorization to Unauthenticated Arbitrary File Information Disclosure via view_file() Function

CRITICAL PLUGIN

gravityforms

Gravity Forms <= 2.10.0.1 - Unauthenticated Arbitrary File Deletion

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto