Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Genolve – AI image AI video generation <= 5.0.5 - Authenticated (Contributor+) Incorrect Authorization to Privilege Escalation via theopt en Genolve Toolkit (escalada de privilegios) - version 5.0.6

PLUGIN HIGH CVE-2026-1359

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

La extensión Genolve Toolkit presenta una vulnerabilidad de escalación de privilegios que permite a usuarios autenticados con rol de contribuyente acceder a funciones restringidas. Esta falla, catalogada como de alta severidad (CVSS 8.8), puede comprometer la integridad del sitio y su información sensible.

Contexto técnico

El fallo se origina en el plugin Genolve Toolkit, versiones hasta la 5.0.5, donde se permite una autorización incorrecta para usuarios con rol de contribuyente. Esto les da acceso no autorizado a funcionalidades que deberían estar restringidas, facilitando la escalación de privilegios.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la modificación no autorizada de contenido y la posibilidad de que un atacante asuma un rol con mayores privilegios. Esto puede llevar a la pérdida de datos, alteración de la configuración del sitio y daños a la reputación del negocio.

Vector de explotación

El vector de explotación implica que un usuario autenticado con rol de contribuyente aproveche la autorización incorrecta para acceder a funciones administrativas, lo que puede ser realizado mediante solicitudes manipuladas.

Mitigación recomendada

Actualizar el plugin Genolve Toolkit a la versión 5.0.6 o superior. Revisar los roles y permisos asignados a los usuarios para asegurar que se alineen con las políticas de seguridad. Implementar medidas de seguridad adicionales, como autenticación de dos factores para usuarios con privilegios elevados.

Señales de detección

Monitorear los registros de acceso para detectar intentos inusuales de acceso a funciones administrativas por parte de usuarios con rol de contribuyente.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Genolve Toolkit hasta la 5.0.5. No se han reportado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

HIGH PLUGIN

simple-jwt-login

Simple JWT Login <= 3.6.6 - Authenticated (Subscriber+) Authentication Bypass to Privilege Escalation via 'payload' Parameter

HIGH PLUGIN

wp-grid-builder

WP Grid Builder <= 2.3.3 - Authenticated (Subscriber+) Privilege Escalation via 'key' Parameter

HIGH PLUGIN

divi-form-builder

Divi Form Builder <= 5.1.8 - Authenticated (Subscriber+) Missing Authorization to Privilege Escalation via User Profile Update Form

HIGH PLUGIN

duoshuo

多说社会化评论框 <= 1.2 - Unauthenticated Privilege Escalation via api.php 'option'/'value' Parameters

HIGH PLUGIN

backstage

Backstage <= 1.4.2 - Unauthenticated Privilege Escalation via Permissive Demo Role Capabilities

CRITICAL PLUGIN

eventer

Eventer <= 4.4.2 - Insecure Password Reset Mechanism to Unauthenticated Privilege Escalation

MEDIUM PLUGIN

themehunk-login-registration

Themehunk Login Registration <= 1.0.2 - Unauthenticated Privilege Escalation via 'role' Parameter

CRITICAL PLUGIN

private-content

Private Content <= 9.9.2 - Unauthenticated Privilege Escalation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad