Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Email Subscribers & Newsletters <= 5.9.27 - Missing Authorization to Authenticated (Contributor+) Settings Modification via ig_es_handle_request AJAX Action (falta de autorizacion) - version 5.9.28

PLUGIN MEDIUM CVE-2026-11592

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Email Subscribers & Newsletters hasta la versión 5.9.27, que permite a usuarios autenticados modificar configuraciones sin autorización. Esto puede comprometer la integridad del sistema y la gestión de suscriptores, afectando la operativa del negocio.

Contexto técnico

El fallo se origina en la falta de autorización adecuada en la acción AJAX 'ig_es_handle_request', permitiendo que usuarios con rol de colaborador o superior realicen cambios en la configuración del plugin sin los permisos necesarios. La superficie de ataque se centra en las solicitudes AJAX a este componente.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir la alteración de listas de suscriptores, envío no autorizado de newsletters o cambios en configuraciones críticas, lo que puede afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

La explotación se realiza mediante el envío de solicitudes maliciosas a la acción AJAX vulnerable, lo que permite modificar configuraciones sin la debida autorización.

Mitigación recomendada

Actualizar el plugin Email Subscribers & Newsletters a la versión 5.9.28 o superior. Revisar los permisos de los usuarios autenticados y ajustar roles según sea necesario. Realizar auditorías de seguridad periódicas para detectar posibles configuraciones inseguras.

Señales de detección

Monitorear los logs del servidor en busca de solicitudes AJAX inusuales o no autorizadas hacia 'ig_es_handle_request', así como cambios inesperados en la configuración del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 5.9.28. No se han confirmado casos en versiones posteriores ni en otros plugins.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

email-subscribers

Email Subscribers & Newsletters <= 5.9.16 - Authenticated (Administrator+) SQL Injection via 'workflow_ids' Parameter

MEDIUM PLUGIN

email-subscribers

Email Subscribers & Newsletters <= 5.9.10 - Missing Authentication to Unauthenticated Action Scheduler Task Execution

MEDIUM PLUGIN

email-subscribers

Email Subscribers & Newsletters <= 5.9.10 - Missing Authentication to Unauthenticated Mailing Queue Trigger

MEDIUM PLUGIN

email-subscribers

Email Subscribers & Newsletters <= 5.9.10 - Authenticated (Administrator+) PHP Object Injection

MEDIUM PLUGIN

email-subscribers

Email Subscribers & Newsletters <= 5.7.49 - Authenticated (Administrator+) Stored Cross-Site Scripting

MEDIUM PLUGIN

email-subscribers

Email Subscribers & Newsletters <= 5.7.51 - Authenticated (Administrator+) Stored Cross-Site Scripting

MEDIUM PLUGIN

email-subscribers

Email Subscribers by Icegram Express – Affordable, Powerful Email Marketing for WordPress & WooCommerce <= 5.7.44 - Authenticated (Admin+) Stored Cross-Site Scripting via Workflow Settings

MEDIUM PLUGIN

email-subscribers

Email Subscribers by Icegram Express – Affordable, Powerful Email Marketing for WordPress & WooCommerce <= 5.7.44 - Authenticated (Admin+) Stored Cross-Site Scripting via Form Settings

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad