Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Abandoned Cart Lite for WooCommerce <= 6.8.0 - Cross-Site Request Forgery en Woocommerce Abandoned Cart - version 6.8.1

PLUGIN MEDIUM CVE-2026-57637

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin 'Abandoned Cart Lite for WooCommerce' en versiones hasta la 6.8.0. Esta falla puede permitir a un atacante realizar acciones no autorizadas, comprometiendo la seguridad de la tienda online.

Contexto técnico

La vulnerabilidad se encuentra en el plugin 'Abandoned Cart Lite for WooCommerce', que permite a los atacantes ejecutar solicitudes maliciosas en nombre de un usuario autenticado. Esto se produce debido a la falta de validación adecuada de los tokens CSRF en las solicitudes, lo que expone la superficie de ataque a explotaciones desde sitios externos.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que un atacante podría manipular el comportamiento de la tienda online, afectando transacciones y la integridad de los datos. Esto puede resultar en pérdidas económicas y dañar la reputación del negocio.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando enlaces maliciosos a usuarios autenticados, lo que les permite ejecutar acciones no deseadas en la tienda sin su consentimiento.

Mitigación recomendada

Actualizar el plugin 'Abandoned Cart Lite for WooCommerce' a la versión 6.8.1 o superior. Revisar las configuraciones de seguridad del plugin y aplicar medidas de hardening. Monitorizar las actividades sospechosas en los logs de acceso y transacciones.

Señales de detección

Señales a observar incluyen registros de solicitudes inusuales o no autorizadas en los logs del servidor, así como cambios inesperados en el comportamiento de la tienda online.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 6.8.1. No se han confirmado casos en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

woocommerce-abandoned-cart

Abandoned Cart Lite for WooCommerce <= 5.16.1 - Cross-Site Request Forgery

MEDIUM PLUGIN

woocommerce-abandoned-cart

Abandoned Cart Lite for WooCommerce <= 5.16.1 - Missing Authorization via multiple AJAX functions

LOW PLUGIN

woocommerce-abandoned-cart

Abandoned Cart Lite for WooCommerce <= 5.16.0 - Improper Authorization via wcal_delete_expired_used_coupon_code

LOW PLUGIN

woocommerce-abandoned-cart

Abandoned Cart Lite for WooCommerce <= 5.16.0 - Improper Authorization via wcal_preview_emails

CRITICAL PLUGIN

woocommerce-abandoned-cart

Abandoned Cart Lite for WooCommerce <= 5.15.1 - Authentication Bypass

MEDIUM PLUGIN

woocommerce-abandoned-cart

Abandoned Cart Lite for WooCommerce <= 5.14.1 - Cross-Site Request Forgery via ts_reset_tracking_setting

MEDIUM PLUGIN

woocommerce-abandoned-cart

Abandoned Cart Lite for WooCommerce <= 5.14.1 - Cross-Site Request Forgery via delete_expired_used_coupon_code

MEDIUM PLUGIN

woocommerce-abandoned-cart

Abandoned Cart Lite for WooCommerce <= 5.8.5 - Cross-Site Request Forgery Bypass

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad