Saltar al contenido

Fuente base de datos: Wordfence Intelligence

ERP: Complete HR, Accounting & CRM Suite Built for WooCommerce <= 1.17.6 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Company Location Creation via wp_ajax_erp-company-location AJAX Handler - version 1.17.7

PLUGIN MEDIUM CVE-2026-15349

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin ERP para WooCommerce que permite la creación arbitraria de ubicaciones de empresas sin la autorización adecuada. Esta falla puede ser explotada por usuarios autenticados, lo que podría comprometer la integridad de los datos operativos de la empresa.

Contexto técnico

El fallo se encuentra en el manejador AJAX wp_ajax_erp-company-location, donde la falta de controles de autorización permite a usuarios con rol de suscriptor o superior crear ubicaciones de empresas sin restricciones. Esto expone el sistema a manipulaciones no autorizadas.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no privilegiados modificar información crítica relacionada con la empresa. Esto podría llevar a problemas de integridad de datos y afectar la confianza de los clientes y socios comerciales.

Vector de explotación

La explotación se realiza mediante llamadas AJAX al manejador wp_ajax_erp-company-location, donde un atacante autenticado puede enviar solicitudes maliciosas para crear ubicaciones de empresas arbitrarias.

Mitigación recomendada

Actualizar el plugin ERP a la versión 1.17.7 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario y asegurarse de que solo los roles adecuados tengan acceso a funciones críticas. Realizar una auditoría de seguridad para identificar posibles abusos de la vulnerabilidad antes de la actualización.

Señales de detección

Monitorear los logs de acceso para detectar patrones inusuales de creación de ubicaciones de empresas por usuarios con rol de suscriptor. Revisar configuraciones de permisos en el plugin ERP.

Alcance afectado

Las versiones del plugin ERP para WooCommerce hasta la 1.17.6 están afectadas. La versión 1.17.7 y posteriores corrigen la vulnerabilidad.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

erp

WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting <= 1.6.3 - Cross-Site Request Forgery Bypass

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad