Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

PushEngage – Web Push Notifications, WooCommerce Automation & Chat Widget <= 4.2.3 - Authenticated (Subscriber+) Information Exposure - version 4.2.4

PLUGIN MEDIUM CVE-2026-52698

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

La extensión PushEngage, utilizada para notificaciones web y automatización en WooCommerce, presenta una vulnerabilidad que permite la exposición de información sensible a usuarios autenticados con rol de suscriptor. Esta situación puede comprometer la seguridad de los datos y la integridad de la plataforma.

Contexto técnico

El fallo se encuentra en versiones del plugin PushEngage hasta la 4.2.3, donde los usuarios autenticados pueden acceder a información que debería estar restringida. La superficie de ataque se centra en la gestión de permisos y la falta de controles adecuados para la exposición de datos.

Impacto potencial

La exposición de información sensible puede dar lugar a un acceso no autorizado a datos críticos, afectando la confianza del cliente y la reputación del negocio. Aunque la severidad se clasifica como media (CVSS 4.3), la posibilidad de explotación debe ser tomada en serio.

Vector de explotación

La explotación se realiza a través de solicitudes autenticadas que permiten a los suscriptores acceder a información que no deberían poder ver, aprovechando la falta de validaciones en el plugin.

Mitigación recomendada

Actualizar el plugin PushEngage a la versión 4.2.4 o superior para cerrar la vulnerabilidad. Revisar los permisos de usuario y asegurarse de que solo los roles adecuados tengan acceso a información sensible. Implementar un monitoreo continuo de las actividades de los usuarios para detectar accesos no autorizados.

Señales de detección

Señales de alerta incluyen accesos inusuales a información restringida en los logs de acceso y cambios en los roles de usuario que no estén documentados.

Alcance afectado

Las versiones afectadas son las anteriores a la 4.2.4 del plugin PushEngage. No se han confirmado otros escenarios de explotación fuera de este contexto.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

royal-elementor-addons

Royal Addons for Elementor – Addons and Templates Kit for Elementor 1.7.1058 - 1.7.1059 - Authenticated (Contributor+) Arbitrary File Read via Data Table Widget CSV File Source

Ver ficha
MEDIUM PLUGIN

dokan-lite

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution <= 5.0.3 - Insecure Direct Object Reference to Authenticated (Custom+) Arbitrary Order Modification via Multiple AJAX Handlers

Ver ficha
HIGH PLUGIN

cf-images

Offload, AI & Optimize with Cloudflare Images <= 1.10.2 - Authenticated (Author+) Remote Code Execution via 'api-key' / 'account-id' Parameters in cf_images_do_setup AJAX Action

Ver ficha
HIGH PLUGIN

premmerce-dev-tools

Premmerce Dev Tools <= 2.0 - Missing Authorization to Authenticated (Subscriber+) Remote Code Execution via Plugin Creation

Ver ficha
MEDIUM PLUGIN

woocommerce-gateway-stripe

WooCommerce Stripe Payment Gateway <= 10.7.0 - Missing Authorization to Unauthenticated Order Status Manipulation via 'order' Parameter

Ver ficha
HIGH PLUGIN

wp_scraper

WordPress & WooCommerce Scraper Plugin, Import Data from Any WebSite. <= 1.0.7 - Unauthenticated Arbitrary File Download

Ver ficha
CRITICAL PLUGIN

wp_scraper

WordPress & WooCommerce Scraper Plugin, Import Data from Any WebSite. <= 1.0.7 - Unauthenticated Arbitrary File Upload

Ver ficha
MEDIUM PLUGIN

fortis-for-woocommerce

Fortis for WooCommerce < 1.3.1 - Unauthenticated Information Exposure

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad