Fuente base de datos: Wordfence Intelligence

Secufor_OAuth <= 1.0.7 - Missing Authorization to Unauthenticated Account Logout via 'secuforoauth_unregister_action' AJAX Action en Wpoauth (falta de autorizacion)

PLUGIN MEDIUM CVE-2026-7617

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Secufor_OAuth que permite el cierre de sesión no autorizado de cuentas no autenticadas. Este fallo podría comprometer la seguridad de los usuarios y afectar la integridad del sistema.

Contexto técnico

La vulnerabilidad se encuentra en la acción AJAX 'secuforoauth_unregister_action', donde no se requiere autorización para cerrar sesión. Esto permite a un atacante cerrar la sesión de cualquier cuenta no autenticada, exponiendo la superficie de ataque a usuarios malintencionados.

Impacto potencial

El impacto de esta vulnerabilidad puede resultar en la interrupción del servicio para los usuarios, además de la posibilidad de que un atacante realice acciones no autorizadas en la cuenta de un usuario. Esto puede afectar la confianza del cliente y la reputación del negocio.

Vector de explotación

El vector de explotación implica que un atacante envíe una solicitud AJAX maliciosa a la acción vulnerable, lo que permite cerrar la sesión de un usuario sin su consentimiento.

Mitigación recomendada

Actualizar el plugin Secufor_OAuth a la versión 1.0.7 o superior para corregir la vulnerabilidad. Revisar los registros de actividad para detectar cierres de sesión inusuales. Implementar medidas de seguridad adicionales, como la autenticación de dos factores, para proteger las cuentas de usuario.

Señales de detección

Señales de posible explotación incluyen registros de cierres de sesión inesperados o solicitudes AJAX a 'secuforoauth_unregister_action' sin autenticación previa.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin Secufor_OAuth anteriores a la 1.0.7. No se han confirmado casos en versiones posteriores.

Vulnerabilidades relacionadas

CRITICAL PLUGIN

invoice-creator

Invoice Generator <= 1.0.0 - Unauthenticated Account Takeover via Weak Password Reset Validation via 'reset_user_id' Parameter

MEDIUM PLUGIN

searchplus

SearchPlus <= 1.7.1 - Missing Authorization to Unauthenticated Settings Modification and Deletion via searchplus_save_token & searchplus_reset_token AJAX Actions

MEDIUM PLUGIN

rentmy-online-rental-shop

RentMy Real-Time Rental Management Plugin <= 4.0.4.1 - Missing Authorization to Unauthenticated Settings Update via rentmy_cdn_request AJAX Action

HIGH PLUGIN

wp-forms-connector

WP Forms Connector <= 1.8 - Missing Authorization to Unauthenticated Information Exposure via 'user/list' REST Endpoint

MEDIUM PLUGIN

devs-accounting

Devs Accounting <= 1.2.0 - Missing Authorization to Unauthenticated Sensitive Information Exposure via 'id' Parameter

MEDIUM PLUGIN

devs-accounting

Devs Accounting <= 1.2.0 - Missing Authorization to Unauthenticated Account Deletion via /delete-account/ REST Endpoint

MEDIUM PLUGIN

whatsorder-instant-checkout-for-woocommerce

WhatsOrder <= 1.0.1 - Unauthenticated Sensitive Information Exposure via Predictable Invoice File URLs

MEDIUM PLUGIN

advanced-contact-form-7-compact-db

Advanced Contact Form 7 <= 1.0.0 - Missing Authorization to Unauthenticated Arbitrary Contact Form Submission Deletion via 'form_id' Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto