Fuente base de datos: Wordfence Intelligence

SP Project & Document Manager <= 4.71 - Missing Authorization to Unauthenticated Arbitrary File Information Disclosure via view_file() Function en SP Client Document Manager (falta de autorizacion)

PLUGIN HIGH CVE-2026-10737

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo bypass de autenticación en el plugin SP Project & Document Manager, que permite la divulgación no autorizada de información de archivos. Esta brecha de seguridad, con un nivel de severidad alto (CVSS 7.5), puede comprometer la integridad de los datos almacenados en el sistema operativo del sitio web.

Contexto técnico

La vulnerabilidad se encuentra en la función view_file() del plugin, que no valida adecuadamente las credenciales de usuario. Esto permite a un atacante no autenticado acceder a información sensible de archivos, exponiendo así la superficie de ataque a usuarios malintencionados que buscan explotar esta debilidad.

Impacto potencial

El impacto en el negocio puede ser significativo, ya que la divulgación de información sensible puede llevar a violaciones de datos y pérdida de confianza por parte de los usuarios. Además, podría resultar en sanciones legales si se expone información personal de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad suele realizarse mediante la invocación directa de la función view_file() con parámetros manipulados, lo que permite acceder a archivos sin la debida autorización.

Mitigación recomendada

Actualizar el plugin SP Project & Document Manager a la versión 4.71 o superior para corregir la vulnerabilidad. Revisar los permisos de acceso a los archivos y asegurarse de que solo los usuarios autorizados puedan acceder a información sensible. Implementar medidas de seguridad adicionales, como la autenticación de dos factores, para proteger el acceso a áreas críticas del sitio.

Señales de detección

Señales observables incluyen intentos de acceso a archivos a través de la función view_file() desde direcciones IP no autorizadas y registros de errores que indican accesos no válidos a archivos sensibles.

Alcance afectado

Las versiones del plugin SP Project & Document Manager hasta la 4.71 son vulnerables. No se han confirmado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

CRITICAL PLUGIN

gravityforms

Gravity Forms <= 2.10.0.1 - Unauthenticated Arbitrary File Deletion

MEDIUM PLUGIN

advanced-custom-fields

Advanced Custom Fields (ACF®) <= 6.8.1 - Unauthenticated Arbitrary Post Modification via Front-End Form '_post_title' and '_post_content' Parameters

MEDIUM PLUGIN

stripe-payments

Accept Stripe Payments <= 2.0.98 - Unauthenticated Payment Bypass

HIGH PLUGIN

videowhisper-live-streaming-integration

Broadcast Live Video – Live Streaming : WebRTC, HLS, RTSP, RTMP < 7.1.3 - Unauthenticated PHP Object Injection

MEDIUM PLUGIN

clover-online-orders

Smart Online Order for Clover <= 1.6.0 - Unauthenticated Sensitive Information Exposure

MEDIUM PLUGIN

cloudsecure-wp-security

CloudSecure WP Security <= 1.4.7 - Two-Factor Authentication Bypass

HIGH PLUGIN

ppv-live-webcams

Paid Videochat Turnkey Site – HTML5 PPV Live Webcams <= 7.3.23 - Unauthenticated PHP Object Injection

MEDIUM PLUGIN

breeze

Breeze Cache <= 2.5.2 - Unauthenticated Exposure of Sensitive Information to an Unauthorized Actor via Crafted Login Cookie

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto