Saltar al contenido

Fuente base de datos: Wordfence Intelligence

LatePoint <= 5.6.2 - Unauthenticated Insecure Direct Object Reference to Arbitrary Creation via 'service_id' Parameter (vulnerabilidad) - version 5.6.3

PLUGIN MEDIUM CVE-2026-12657

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin LatePoint hasta la versión 5.6.2, que permite la creación arbitraria de objetos a través del parámetro 'service_id'. Esta falla, de tipo bypass de autenticación, puede comprometer la seguridad operativa de las instalaciones afectadas.

Contexto técnico

La vulnerabilidad se presenta como una referencia directa a objetos inseguros, lo que permite a un atacante no autenticado acceder y manipular recursos sensibles mediante la modificación del parámetro 'service_id'. Esto expone la superficie de ataque a usuarios malintencionados que buscan explotar esta debilidad.

Impacto potencial

El impacto en la seguridad puede ser significativo, ya que permite la creación de servicios arbitrarios, lo que podría llevar a la alteración de datos y a la pérdida de integridad en el sistema. Esto afecta directamente la confianza de los usuarios y la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad generalmente implica enviar solicitudes manipuladas que alteran el 'service_id', permitiendo la creación no autorizada de objetos en el sistema.

Mitigación recomendada

Actualizar el plugin LatePoint a la versión 5.6.3 o superior para corregir la vulnerabilidad. Revisar las configuraciones de seguridad y los permisos de acceso a los recursos del plugin. Implementar medidas de monitoreo para detectar accesos inusuales o no autorizados.

Señales de detección

Señales de alerta incluyen registros de acceso inusuales que intentan manipular el parámetro 'service_id' y cambios inesperados en la configuración de servicios dentro del plugin.

Alcance afectado

La vulnerabilidad afecta a todas las instalaciones del plugin LatePoint hasta la versión 5.6.2. No se han confirmado escenarios fuera de estas versiones.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

latepoint

LatePoint <= 5.6.1 - Missing Authorization to Unauthenticated Arbitrary Customer Data Modification via process_step_customer() Booking Form Customer Step

MEDIUM PLUGIN

latepoint

LatePoint <= 5.5.0 - Unauthenticated Account Takeover via Weak Password Recovery Mechanism

MEDIUM PLUGIN

latepoint

LatePoint <= 5.3.2 - Insecure Direct Object Reference to Unauthenticated Sensitive Financial Data Exposure via Sequential Invoice ID

HIGH PLUGIN

latepoint

LatePoint <= 5.1.94 - Unauthenticated Authentication Bypass via load_step Function

MEDIUM PLUGIN

latepoint

Latepoint <= 5.1.92 - Unauthenticated Insecure Direct Object Reference

CRITICAL PLUGIN

latepoint

LatePoint <= 5.0.12 - Authentication Bypass

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad