Saltar al contenido

Fuente base de datos: Wordfence Intelligence

JoomSport <= 5.7.8 - Authenticated (Subscriber+) Missing Authorization to Arbitrary Group Deletion via season_groupdel AJAX action en Joomsport Sports League Results Management (falta de autorizacion) - version 5.7.9

PLUGIN MEDIUM CVE-2026-12133

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin JoomSport (versiones hasta 5.7.8) que permite a usuarios autenticados con rol de suscriptor eliminar grupos arbitrariamente. Esto puede comprometer la integridad de los datos y la gestión de grupos en la aplicación.

Contexto técnico

El fallo se origina en la acción AJAX 'season_groupdel', donde no se realiza una verificación adecuada de las autorizaciones. Esto permite que usuarios con privilegios limitados, como los suscriptores, lleven a cabo eliminaciones no autorizadas.

Impacto potencial

El riesgo principal radica en la posible eliminación de grupos, lo que puede afectar la operativa del sitio y la experiencia del usuario. La falta de control de acceso adecuado puede llevar a la pérdida de datos críticos y desorganización en la gestión de la liga deportiva.

Vector de explotación

La explotación de esta vulnerabilidad se lleva a cabo mediante el envío de peticiones AJAX manipuladas por un usuario autenticado que no debería tener permisos para realizar dicha acción.

Mitigación recomendada

Actualizar el plugin JoomSport a la versión 5.7.9 o superior para corregir la vulnerabilidad. Revisar los roles y permisos de los usuarios en la instalación de WordPress para asegurar que los suscriptores no tengan acceso a funciones críticas. Implementar medidas adicionales de seguridad, como la limitación de accesos a las acciones AJAX sensibles.

Señales de detección

Revisar los logs de acceso para detectar intentos inusuales de eliminación de grupos por parte de usuarios con rol de suscriptor. Monitorizar cambios inesperados en la configuración de grupos.

Alcance afectado

Las versiones del plugin JoomSport hasta la 5.7.8 son vulnerables. La versión 5.7.9 y posteriores no presentan este fallo. No se han confirmado otros escenarios de explotación fuera de las versiones mencionadas.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

joomsport-sports-league-results-management

JoomSport <= 5.7.8 - Authenticated (Subscriber+) Missing Authorization to Arbitrary Group Creation/Modification via season_groupedit AJAX action

HIGH PLUGIN

joomsport-sports-league-results-management

JoomSport <= 5.7.7 - Unauthenticated SQL Injection via 'sortf' Parameter

HIGH PLUGIN

joomsport-sports-league-results-management

JoomSport – for Sports: Team & League, Football, Hockey & more <= 5.7.7 - Unauthenticated SQL Injection

CRITICAL PLUGIN

joomsport-sports-league-results-management

JoomSport <= 5.7.3 - Unauthenticated Directory Traversal to Local File Inclusion

HIGH PLUGIN

joomsport-sports-league-results-management

JoomSport <= 5.6.17 - Reflected Cross-Site Scripting via page

MEDIUM PLUGIN

joomsport-sports-league-results-management

JoomSport <= 5.6.3 - Missing Authorization

MEDIUM PLUGIN

joomsport-sports-league-results-management

JoomSport <= 5.3.0 - Missing Authorization

CRITICAL PLUGIN

joomsport-sports-league-results-management

JoomSport <= 5.2.7 - Unauthenticated SQL Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad