Saltar al contenido

Fuente base de datos: Wordfence Intelligence

GamiPress <= 7.9.4 - Insecure Direct Object Reference to Unauthenticated Sensitive Information Disclosure via 'access' Parameter (divulgacion de informacion) - version 7.9.5

PLUGIN MEDIUM CVE-2026-13450

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

La versión 7.9.4 de GamiPress presenta una vulnerabilidad de referencia directa a objetos inseguros, permitiendo la divulgación de información sensible sin autenticación. Este fallo afecta la seguridad operativa al exponer datos críticos a usuarios no autorizados.

Contexto técnico

El fallo se origina en el parámetro 'access', que permite a los atacantes acceder a información sensible sin necesidad de autenticarse. La superficie de ataque se centra en las solicitudes HTTP que manipulan este parámetro, lo que facilita la explotación.

Impacto potencial

La divulgación de información sensible puede comprometer la privacidad de los usuarios y la integridad de los datos. Esto podría resultar en pérdida de confianza por parte de los clientes y potenciales repercusiones legales para la empresa.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad mediante la modificación de las solicitudes HTTP para acceder a información sensible sin autenticación previa.

Mitigación recomendada

Actualizar GamiPress a la versión 7.9.5 o superior para corregir la vulnerabilidad. Revisar los registros de acceso para identificar intentos de explotación. Implementar controles adicionales de autenticación para el acceso a información sensible.

Señales de detección

Señales en los registros de acceso que indiquen solicitudes inusuales al parámetro 'access', especialmente aquellas que no provienen de usuarios autenticados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 7.9.5 de GamiPress. No se han confirmado otros escenarios de explotación fuera de esta versión.

Vulnerabilidades relacionadas

HIGH PLUGIN

gamipress

GamiPress <= 7.2.1 - Unauthenticated Arbitrary Shortcode Execution via gamipress_ajax_get_logs Function

HIGH PLUGIN

gamipress

GamiPress <= 7.2.1 - Unauthenticated Arbitrary Shortcode Execution via gamipress_do_shortcode() Function

HIGH PLUGIN

gamipress

GamiPress – The #1 gamification plugin to reward points, achievements, badges & ranks in WordPress <= 7.1.5 - Unauthenticated Arbitrary Shortcode Execution via gamipress_get_user_earnings

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad