Resumen ejecutivo
Se ha identificado una vulnerabilidad en el plugin STRABL (versiones <= 4.5) que permite la creación de webhooks sin necesidad de autenticación. Esto podría comprometer la integridad de la aplicación y exponer datos sensibles.
Fuente base de datos: Wordfence Intelligence
STRABL <= 4.5 - Unauthenticated Arbitrary Webhook Creation via REST API Endpoint en Strabl A Checkout Solution (vulnerabilidad) - version 4.6
PLUGIN
MEDIUM
CVE-2026-3640
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
El fallo se origina en un bypass de autenticación a través de un endpoint de la API REST del plugin. Cualquier usuario no autenticado puede acceder y crear webhooks arbitrarios, lo que representa una grave brecha de seguridad.
Impacto potencial
La explotación de esta vulnerabilidad puede llevar a la manipulación de datos y a la ejecución de acciones no autorizadas en el sitio web, afectando la confianza del cliente y la reputación del negocio.
Vector de explotación
La vulnerabilidad se puede explotar enviando solicitudes maliciosas al endpoint de la API REST del plugin, permitiendo la creación de webhooks sin la debida autenticación.
Mitigación recomendada
Actualizar el plugin STRABL a la versión 4.6 o superior para corregir la vulnerabilidad. Revisar y restringir el acceso a la API REST para prevenir accesos no autorizados. Implementar medidas de seguridad adicionales, como autenticación de dos factores, en el acceso a la administración del sitio.
Señales de detección
Monitorizar los logs de acceso para detectar solicitudes inusuales al endpoint de la API REST y verificar la creación de webhooks no autorizados.
Alcance afectado
Las versiones del plugin STRABL anteriores a la 4.6 están afectadas. No se han confirmado casos en versiones posteriores.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
shapepress-dsgvo
WP DSGVO Tools (GDPR) <= 3.1.39 - Missing Authorization to Unauthenticated Sensitive Personal Data Disclosure via subject-access-request AJAX Endpoint (process_now/is_ajax Parameters)
CRITICAL
PLUGIN
fusion-builder
Avada (Fusion) Builder <= 3.15.3 - Unauthenticated Arbitrary File Deletion via Form Entry Value
MEDIUM
PLUGIN
2download-connector
2Download Connector for 2DL Hosted Checkout <= 0.1.5 - Missing Authorization to Unauthenticated Sensitive Customer Subscription Data Exposure via 'ToDownload_email' Parameter
MEDIUM
PLUGIN
eventkoi-lite
Event Koi Lite <= 1.3.13.1 - Missing Authorization to Unauthenticated Sensitive Information Exposure via REST API Endpoints
MEDIUM
PLUGIN
firebox
FireBox Popups <= 3.1.7 - Unauthenticated Sensitive Information Exposure in 'form_id' Parameter
MEDIUM
PLUGIN
simple-membership
Simple Membership <= 4.7.5 - Missing Authorization to Unauthenticated Arbitrary Member Account Deactivation via Forged Stripe 'charge.refunded' Webhook
MEDIUM
PLUGIN
video-conferencing-with-zoom-api
Video Conferencing with Zoom <= 4.6.7 - Missing Authorization to Unauthenticated Zoom SDK Credential Exposure via 'get_auth' AJAX Action
MEDIUM
PLUGIN
abandoned-contact-form-7
Abandoned Contact Form 7 <= 2.2 - Missing Authorization to Unauthenticated Arbitrary Post Deletion via 'recover_id' Parameter
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto