Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Envo's Templates & Widgets for Elementor and WooCommerce <= 1.4.26 - Missing Authorization to Authenticated (Author+) Private Content Disclosure via Envo Tabs Widget 'templates' Setting en Envo Elementor FOR Woocommerce - version 1.4.27

PLUGIN MEDIUM CVE-2026-11600

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Envo's Templates & Widgets para Elementor y WooCommerce que permite la divulgación no autorizada de contenido privado. Esta falla puede comprometer la privacidad de la información sensible de los usuarios, afectando la confianza en el negocio.

Contexto técnico

El fallo se origina en el componente Envo Tabs Widget, donde la configuración del 'templates' permite el acceso no autorizado a contenido privado para usuarios autenticados con rol de autor. Esto expone información sensible que debería estar restringida.

Impacto potencial

La divulgación de contenido privado puede tener repercusiones significativas en la seguridad de los datos y la reputación de la empresa. Los usuarios podrían acceder a información que no les corresponde, lo que podría llevar a la pérdida de confianza y posibles acciones legales.

Vector de explotación

El vector de explotación implica que un usuario autenticado con rol de autor puede acceder a contenido privado a través de la configuración incorrecta del widget, sin necesidad de privilegios adicionales.

Mitigación recomendada

Actualizar el plugin Envo's Templates & Widgets a la versión 1.4.27 o superior. Revisar la configuración de acceso a contenido privado en el widget afectado. Realizar auditorías de seguridad periódicas para detectar configuraciones inapropiadas.

Señales de detección

Señales de riesgo incluyen accesos inusuales a contenido privado en los logs, así como cambios en la configuración del widget sin justificación clara.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.4.27 del plugin Envo's Templates & Widgets para Elementor y WooCommerce. No se han confirmado otros escenarios fuera de este contexto.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

envo-elementor-for-woocommerce

Envo's Elementor Templates & Widgets for WooCommerce <= 1.4.4 - Missing Authorization via templates_ajax_request

MEDIUM PLUGIN

envo-elementor-for-woocommerce

Envo's Elementor Templates & Widgets for WooCommerce <= 1.4.4 - Cross-Site Request Forgery via ajax_plugin_activation

MEDIUM PLUGIN

envo-elementor-for-woocommerce

Envo's Elementor Templates & Widgets for WooCommerce <= 1.4.4 - Cross-Site Request Forgery via ajax_theme_activation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad