Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Newsletters <= 4.13 - Missing Authorization en Newsletters Lite (falta de autorizacion) - version 4.14

PLUGIN MEDIUM CVE-2026-57645

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Newsletters Lite, afectando a las versiones hasta 4.13. Esta falla puede comprometer la seguridad operativa del sitio, permitiendo accesos no autorizados.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados dentro del plugin, lo que permite a usuarios no autenticados realizar acciones que deberían estar restringidas. La superficie de ataque se presenta a través de las funciones del plugin que no validan correctamente los permisos de usuario.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir la exposición de datos sensibles y la manipulación de configuraciones del plugin, afectando la integridad y la privacidad de la información gestionada. Esto puede resultar en una pérdida de confianza por parte de los usuarios y repercusiones legales.

Vector de explotación

La explotación típicamente se lleva a cabo mediante el envío de solicitudes maliciosas a las funciones del plugin que no requieren autenticación previa, permitiendo así la ejecución de acciones no autorizadas.

Mitigación recomendada

Actualizar el plugin Newsletters Lite a la versión 4.14 o superior para corregir la vulnerabilidad. Revisar los registros de acceso y actividad del plugin para identificar posibles accesos no autorizados. Implementar medidas de seguridad adicionales, como la restricción de acceso a funciones críticas del plugin mediante controles de usuario.

Señales de detección

Señales de alerta incluyen accesos inusuales en los registros del plugin, intentos de modificación de configuraciones sin autenticación, y cambios en la lista de suscriptores sin la debida autorización.

Alcance afectado

Las versiones del plugin Newsletters Lite hasta la 4.13 están afectadas. La versión 4.14 y posteriores no presentan esta vulnerabilidad. No se han reportado casos de explotación confirmados hasta la fecha.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

newsletters-lite

Newsletters <= 4.13 - Missing Authorization

HIGH PLUGIN

newsletters-lite

Newsletters <= 4.13 - Unauthenticated SQL Injection via wpmlsubscriber_id Parameter

HIGH PLUGIN

newsletters-lite

Newsletters <= 4.11 - Unauthenticated PHP Object Injection

MEDIUM PLUGIN

newsletters-lite

Newsletters <= 4.12 - Authenticated (Contributor+) Stored Cross-Site Scripting

HIGH PLUGIN

newsletters-lite

Newsletters <= 4.10 - Unauthenticated Local File Inclusion

MEDIUM PLUGIN

newsletters-lite

Newsletters <= 4.10 - Cross-Site Request Forgery

HIGH PLUGIN

newsletters-lite

Newsletters <= 4.9.9.9 - Authenticated (Administrator+) Local File Inclusion

MEDIUM PLUGIN

newsletters-lite

Newsletters <= 4.9.9.8 - Authenticated (Contributor+) SQL Injection orderby Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad