Saltar al contenido

Fuente base de datos: Wordfence Intelligence

PPWP – Password Protect Pages <= 1.9.19 - Authenticated (Contributor+) Insecure Direct Object Reference (Insecure Direct Object Reference (IDOR)) - version 1.9.20

PLUGIN MEDIUM CVE-2026-57634

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin PPWP – Password Protect Pages, que afecta a versiones hasta la 1.9.19. Esta falla permite a usuarios autenticados acceder a objetos no autorizados, comprometiendo la seguridad de las páginas protegidas.

Contexto técnico

La vulnerabilidad se origina en una referencia directa insegura a objetos, permitiendo a usuarios con rol de contribuyente o superior acceder a contenido que no deberían ver. Esto ocurre en la gestión de permisos del plugin, facilitando el acceso no autorizado a información sensible.

Impacto potencial

El impacto en la seguridad puede ser significativo, ya que permite a usuarios no autorizados visualizar contenido restringido, lo que puede comprometer la confidencialidad de la información y la integridad del sitio web. Esto puede resultar en pérdida de confianza por parte de los usuarios y daños a la reputación del negocio.

Vector de explotación

La explotación se realiza mediante la manipulación de las solicitudes HTTP para acceder a objetos protegidos, lo que requiere que el atacante esté autenticado con un rol adecuado.

Mitigación recomendada

Actualizar el plugin PPWP a la versión 1.9.20 o superior para cerrar la vulnerabilidad. Revisar y ajustar los permisos de acceso a contenido sensible en el sitio. Realizar auditorías periódicas de seguridad para detectar configuraciones incorrectas.

Señales de detección

Monitorizar los logs de acceso para detectar patrones inusuales de acceso a contenido protegido, así como configuraciones de permisos que no se alineen con las políticas de acceso establecidas.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin PPWP – Password Protect Pages anteriores a la 1.9.20. No se han confirmado casos en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

ad-inserter

Ad Inserter <= 2.8.16 - Insecure Direct Object Reference to Authenticated (Contributor+) Arbitrary Post Content Disclosure via 'data' Shortcode Attribute

MEDIUM PLUGIN

kadence-blocks

Kadence Blocks <= 3.7.7 - Insecure Direct Object Reference to Authenticated (Contributor+) Arbitrary Optimizer Data Deletion/Read/Modification via 'post_path' Parameter

MEDIUM PLUGIN

learnpress

LearnPress <= 4.3.9.1 - Insecure Direct Object Reference to Authenticated (Subscriber+) Sensitive Information Disclosure via 'userId' Parameter

MEDIUM PLUGIN

qi-blocks

Qi Blocks <= 1.4.9 - Insecure Direct Object Reference to Authenticated (Author+) Arbitrary Style Modification via 'page_id' Parameter

MEDIUM PLUGIN

simple-user-avatar

Simple User Avatar <= 4.9 - Authenticated (Subscriber+) Insecure Direct Object Reference

MEDIUM PLUGIN

majestic-support

Majestic Support – The Leading-Edge Help Desk & Customer Support Plugin <= 1.1.7 - Authenticated (Subscriber+) Insecure Direct Object Reference

MEDIUM PLUGIN

supportcandy

SupportCandy – Helpdesk & Customer Support Ticket System <= 3.4.6 - Authenticated (Subscriber+) Insecure Direct Object Reference

MEDIUM PLUGIN

pressprimer-quiz

PressPrimer Quiz <= 2.3.0 - Insecure Direct Object Reference to Authenticated (Custom+) Arbitrary Modification via 'quiz_id', 'item_id', and 'rule_id' Parameters

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad