Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Ninja Forms - File Uploads <= 3.3.29 - Missing Authorization to Unauthenticated Log Disclosure and Deletion via debug-log/delete-all and debug-log/get-all REST Endpoints en Ninja Forms Uploads (falta de autorizacion) - version 3.3.30

PLUGIN MEDIUM CVE-2026-12557

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha detectado una vulnerabilidad en el plugin Ninja Forms - File Uploads hasta la versión 3.3.29, que permite la divulgación de logs y su eliminación sin autenticación. Esto puede comprometer la seguridad del sitio y la integridad de los datos operativos.

Contexto técnico

La vulnerabilidad se presenta a través de los endpoints REST 'debug-log/delete-all' y 'debug-log/get-all', donde un atacante no autenticado puede acceder a información sensible y eliminar registros, exponiendo así la superficie de ataque del plugin.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante acceder a información sensible almacenada en los logs, lo que puede llevar a la exposición de datos críticos y afectar la confianza de los usuarios en la plataforma.

Vector de explotación

La explotación se realiza mediante el envío de peticiones a los endpoints REST mencionados, lo que permite la divulgación y eliminación de logs sin requerir autenticación previa.

Mitigación recomendada

Actualizar el plugin Ninja Forms - File Uploads a la versión 3.3.30 o superior para corregir la vulnerabilidad. Revisar y auditar los logs de acceso para detectar cualquier actividad sospechosa relacionada con la explotación de esta vulnerabilidad. Implementar medidas de seguridad adicionales, como la limitación de acceso a los endpoints REST a usuarios autenticados.

Señales de detección

Señales a observar incluyen accesos no autorizados a los endpoints REST mencionados y cambios inusuales en los logs del sistema.

Alcance afectado

Las versiones afectadas son Ninja Forms - File Uploads hasta la 3.3.29. No se han confirmado otros escenarios o componentes relacionados.

Vulnerabilidades relacionadas

HIGH PLUGIN

ninja-forms-uploads

Ninja Forms - File Uploads <= 3.3.29 - Unauthenticated Arbitrary File Read via File Upload Field 'files[].data.file_path' Parameter

CRITICAL PLUGIN

ninja-forms-uploads

Ninja Forms - File Upload <= 3.3.26 - Unauthenticated Arbitrary File Upload

HIGH PLUGIN

ninja-forms-uploads

Ninja Forms - File Uploads <= 3.0.22 - Unauthenticated Arbitrary File Upload

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad