Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Fluent Forms <= 6.2.1 - Incorrect Authorization to Authenticated (Subscriber+) Arbitrary Subscription Cancellation via 'subscription_id' en Fluentform (vulnerabilidad) - version 6.2.2

PLUGIN MEDIUM CVE-2026-5069

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Fluent Forms, que permite a usuarios autenticados con rol de suscriptor cancelar suscripciones arbitrariamente. Esta brecha de seguridad puede comprometer la integridad de los servicios de suscripción y afectar la confianza del usuario.

Contexto técnico

La vulnerabilidad se presenta en las versiones del plugin Fluent Forms hasta la 6.2.1, donde una incorrecta autorización permite a suscriptores acceder a funciones restringidas. El vector de ataque se centra en el parámetro 'subscription_id', que no valida adecuadamente los permisos del usuario.

Impacto potencial

El impacto en el negocio puede incluir la pérdida de ingresos recurrentes debido a cancelaciones no autorizadas, así como un daño a la reputación de la marca por la falta de control sobre las suscripciones. Además, puede generar desconfianza entre los usuarios respecto a la seguridad del sistema.

Vector de explotación

La explotación se realiza mediante la manipulación del parámetro 'subscription_id' en las solicitudes, permitiendo a un usuario autenticado cancelar suscripciones de otros usuarios sin autorización.

Mitigación recomendada

Actualizar el plugin Fluent Forms a la versión 6.2.2 o superior para cerrar la vulnerabilidad. Revisar los roles y permisos de los usuarios para asegurar que no tengan acceso a funciones no autorizadas. Realizar auditorías periódicas de seguridad en los plugins instalados para detectar vulnerabilidades potenciales.

Señales de detección

Monitorear los logs de acceso para detectar intentos inusuales de cancelación de suscripciones y revisar configuraciones de permisos de usuario.

Alcance afectado

Las versiones del plugin Fluent Forms hasta la 6.2.1 son vulnerables. Se recomienda a los usuarios que verifiquen si están utilizando estas versiones y actualicen inmediatamente.

Vulnerabilidades relacionadas

HIGH PLUGIN

fluentform

Fluent Forms <= 6.2.0 - Authenticated (Subscriber+) Authorization Bypass via 'table' Parameter

HIGH PLUGIN

fluentform

Fluent Forms <= 6.1.21 - Authenticated (Subscriber+) Authorization Bypass via 'form_id' Parameter

MEDIUM PLUGIN

fluentform

Fluent Forms <= 6.2.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'permission_message' Shortcode Attribute

MEDIUM PLUGIN

fluentform

Fluent Forms <= 6.2.1 - Authenticated (Administrator+) Arbitrary File Read via Path Traversal in Email Attachment

MEDIUM PLUGIN

fluentform

Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder <= 6.1.21 - Insecure Direct Object Reference in Stripe SCA Confirmation to Unauthenticated Payment Status Modification

MEDIUM PLUGIN

fluentform

Fluent Forms <= 6.1.14 - Authenticated (Subscriber+) Stored Cross-Site Scripting via AI Form Builder Module

MEDIUM PLUGIN

fluentform

Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder <= 6.1.14 - Missing Authorization

MEDIUM PLUGIN

fluentform

FluentForm <= 6.1.11 - Unauthenticated Arbitrary Shortcode Execution

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad